1. 補助 AIDE (Advanced Instruction Detection Environment) は、ファイルとディレクトリの整合性チェックを実行するプログラムです。Tripwire の代替として開発されました。 AIDEの仕組み AIDE は、比較基準として指定されたファイルの整合性サンプル ライブラリ (スナップショット) を構築します。これらのファイルが変更されると、対応するチェックサム値も必然的にそれに応じて変化します。AIDE はこれらの変更を識別し、管理者に警告することができます。 AIDE によって監視される属性の変更には、主に権限、所有者、グループ、ファイル サイズ、作成時間、最終変更時間、最終アクセス時間、増加したサイズ、リンクの数などがあり、SHA1 や MD5 などのアルゴリズムを使用して各ファイルの検証コードを生成できます。 このツールはかなり古く、Tripwire などの類似ツールと比較すると操作も簡単です。システムのスナップショットを取得し、HASH 値、変更時刻、および管理者によるファイルの前処理を記録する必要があります。このスナップショットにより、管理者はデータベースを構築し、それを外部デバイスに保存して保管することができます。 AIDEの特徴
[root@centos7 ~]$ yuminstall-y aide AIDEをインストールする ダウンロード: http://sourceforge.net/projects/aide yum インストール補助 vi /etc/aide.conf database=file:@@{DBDIR}/aide.db.gz #システム イメージ ライブラリの場所 database_out=file:@@{DBDIR}/aide.db.new.gz #システム イメージ ライブラリを新しく生成します (デフォルトでは /var/lib/aide/ に生成されます)。# 次に、データベースに含めるディレクトリ/ファイルを決定します。 /boot 通常 /bin ノーマル /sbin 通常 /lib ノーマル /lib64 ノーマル #/opt NORMAL #ディレクトリ /usr NORMAL をチェックしないようコメントする /root 通常 # これらはあまりにも不安定なので、チェックされていない個々のディレクトリを除外します!/usr/src !/usr/tmp #要件に応じて、以下に新しい検出ディレクトリ /etc/exports NORMAL を追加します /etc/fstab 通常 /etc/passwd ノーマル 設定ファイルの詳細説明#データベースパスとログパスの変数を定義します
# 圧縮を有効にする gzip_dbout=はい # 複数の権限をルールとして定義し、後で参照できるように変数に割り当てます
# どのルールがどのファイルを監視するために使用されるか
# 監視対象外のファイル !/etc/.*~ #p: 権限 #i: iノード: #n: リンクの数 #u: ユーザー #g: グループ #s: サイズ #b: ブロック数 #m: 時刻 #a: 時間 #c: ctime #S: 成長しているサイズをチェック #acl: アクセス制御リスト #selinux SELinux セキュリティコンテキスト #xattrs: 拡張ファイル属性 #md5: md5 チェックサム #sha1: sha1 チェックサム #sha256: sha256 チェックサム #sha512: sha512 チェックサム #rmd160: rmd160 チェックサム #tiger: tiger チェックサム ルールの定義 設定ファイル /etc/adie.conf を編集し、ルール変数 mon を定義し、/app ディレクトリ内のすべてのファイルを監視し、/app/saomiao.log は監視しないようにします。 [root@centos7 aide]$ vim /etc/aide.conf モン = p+u+g+sha512+m+a+c /アプリモン !/app/juli.sh データベースを作成する データベース ファイルを生成し、構成ファイル内の各ファイルのチェックサムを定義して、後で比較できるようにデータベースに格納します。プロンプトから、/var/lib/aide/aide.db.new.gz データベース ファイルが生成されていることがわかります。このデータベース ファイルは初期データベースです。侵入検出を実行すると、/var/lib/aide/aide.db.gz データベース ファイルと比較されます。2 つのデータベースに不一致がある場合は、侵入があったことを示すプロンプトが表示されます。 [root@centos7 aide]$aide --init AIDE、バージョン 0.15.1 ### /var/lib/aide/aide.db.new.gz の AIDE データベースが初期化されました。 ファイルがハッキングされ変更される様子をシミュレートする シミュレーション ファイルが変更されました: saomiao.sh ファイルに改行を追加し、チェックサム、Mtime、Ctime の変更を促します。 [root@centos7 aide]$ echo >> /app/saomiao.sh 検出: AIDE の検出メカニズムは、現在のデータベースを計算し、それを aide.db.gz と比較することです。 aide.db.gz はデフォルトでは存在しないため、以前に作成した初期化データベース aide.db.new.gz の名前を aide.db.gz に変更する必要があります。 [root@centos7 aide]$mv aide.db.new.gz aide.db.gz 侵入検知 最後に、aide -C (大文字であることに注意してください) を使用して、計算されたデータを aide.db.new.gz と比較し、saomiao.sh ファイルの Mtime と Ctime SHA512 が変更されているかどうかを確認します。 タスクスケジュールを設定し、定期的な検査を実施する
情報をメールで送信することもできます: 30 08 * * * /usr/sbin/aide --check| mail –s “AIDE レポート“ [email protected] 2. RKハンター RKHunter は、システムがルートキットに感染しているかどうかを検出するために特別に設計されたツールです。一連のスクリプトを自動的に実行して、サーバーがルートキットに感染しているかどうかを包括的に検出します。 RKHunterの特徴
インストール [root@centos7 aide]$yum install rkhunter 検出 rkhunker -c コマンドを実行してシステムをテストします。 RKHunter の検出はいくつかの部分に分かれています。最初の部分では、主にシステムのバイナリ ツールを検出します。これらのツールはルートキットの主な感染ターゲットであるためです。各テストの後、Enter キーを押して確認する必要があります。 [ ok ] は異常なしを意味します [ 見つかりません ] はツールが見つからなかったことを意味します。無視してください。 [警告] 赤色の警告の場合は、これらのツールが感染しているか、置き換えられていないかをさらに確認する必要があります。 タスクスケジュールを設定し、定期的な検査を実施する
情報をメールで送信することもできます: 2. RKハンター RKHunter は、システムがルートキットに感染しているかどうかを検出するために特別に設計されたツールです。一連のスクリプトを自動的に実行して、サーバーがルートキットに感染しているかどうかを包括的に検出します。 RKHunterの特徴
インストール [root@centos7 aide]$yum install rkhunter 検出 rkhunker -c コマンドを実行してシステムをテストします。 RKHunter の検出はいくつかの部分に分かれています。最初の部分では、主にシステムのバイナリ ツールを検出します。これらのツールはルートキットの主な感染ターゲットであるためです。各テストの後、Enter キーを押して確認する必要があります。
プログラムが毎回検出するたびにユーザーに確認を求めるのではなく、自動的に検出するようにしたい場合は、次のようにします。 rkhunter --check --skip-keypress 同時に、毎週または毎月の自動検出を実現したい場合は、スケジュールされたタスクに追加して自動実行することができます。
以上がこの記事の全内容です。皆様の勉強のお役に立てれば幸いです。また、123WORDPRESS.COM を応援していただければ幸いです。 以下もご興味があるかもしれません:
|
SQL文 ドロップトリガー もし sys_menu_edit が存在します。 各行のsys_menu...
目次1. コンポーネントの肥大化2. 状態を直接変更する3. プロパティは数値を渡す必要があるが文字...
この記事は主にDockerによるKafkaのデプロイとSpring Kafkaの実装について紹介しま...
プロジェクトで frameset 属性を使用したことがあるかどうかはわかりません。昨年、オンライン ...
Vue+ElementUI Treeの使い方は参考までに。具体的な内容は以下のとおりです。 フロント...
目次Vue モニターのプロパティリスナープロパティとは何ですか?リスニングプロパティと計算プロパティ...
無線インタラクションにずっと興味があったので、今回は実践してみようと思います〜この分析と評価は iO...
目次1. reduxとreactの関係2. Reactのマルチコンポーネント共有3. reduxの3...
目次vue2のキャッシュ機能Vue キャッシュ関数の変換最適化要約するvue2のキャッシュ機能vue...
Linux サーバーに GRUB をインストールする方法クラウド移行ツールを使用して、CentOS ...
シンプルな機能: ブラウザの右上隅にあるプラグイン アイコンをクリックすると小さなポップアップ ウィ...
1. CLionをダウンロード、インストール、アクティベートするオンラインで提供されるチュートリアル...
目次1. データベースとは何ですか? 2. データベースの分類は? 3. データベースとデータ構造の...
1. Vimの公式ウェブサイトにアクセスして、オペレーティングシステムに適した実行ファイルをダウンロ...
MySQL のデータはディスクに書き込む必要があることは誰もが知っています。ディスクの読み取りと書き...