本帖最后由 以谁为师 于 2016-3-17 10:57 编辑
AIDE(Adevanced Intrusion Detection Environment,高级入侵检测环境)是个入侵检测工具,主要用途是检测文件篡改的机制——不仅仅是文件内容,也包括它们的属性
Redhat/Centos
安装
yum install aide
将自己站点加入到配置
vi /etc/aide.conf
[Shell] 纯文本查看 复制代码 MyRule = p+u+g
/www MyRule
! /www/uploads/
! /www/cache/
! /www/tmp/
#我设置了对网站进行校验(p权限 u用户 g组),(!)忽略子目录
默认配置文件是/etc/aide.conf,该文件介绍了几个示例保护规则(如FIPSR,NORMAL,DIR,DATAONLY),各个规则后面跟着一个等号以及要检查的文件属性列表,或者某些预定义的规则(由+分隔)。你也可以使用此种格式自定义规则。
例如,上面的例子说明,NORMAL规则将检查下列属性的不一致性:权限(p)、索引节点(i)、链接数(n)、用户(u)、组(g)、大小(s)、修改时间(m)、创建时间(c)、ACL(acl)、SELinux(selinux)、xattrs(xattr)、SHA256/SHA512校验和(sha256和sha512)。
初始化监控数据库
/usr/sbin/aide -c /etc/aide.conf -i
把当前初始化的数据库作为开始的基础数据库
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
重构数据库(正常的改动 更新改动到基础数据库)
aide --update
或者aide -u
覆盖替换旧的数据库
cd /var/lib/aide/ &&mv aide.db.new.gz aide.db.gz -f
手动安全校验
aide --check
告警设置
vi /home/aide.sh
[Shell] 纯文本查看 复制代码 #!/bin/bash
MAILUSER='admin@attacker.club'
#定义发送的邮箱
log=/home/report-`date +%Y%m%d`.txt
#定义日志存放路径
aide -C --report=file:$log >/dev/nell 2>&1
grep differences $log
#校验对比
if [ $? -eq 0 ];then
cat $log| /bin/mail -s "安全报告 IP:$(ip add |grep global |awk '{print $2}'|cut -d / -f 1 |grep $(route |grep default |awk '{print $2}'|cut -d "." -f 1,2)) [$(uname -n)] at $(date +'%b %e %H:%M')" $MAILUSER
aide -u
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz -f
#与基础库对比,有改变则向管理员发送报告,同时更新基础数据库。
fi
find /home/ -name "aide-report-*.txt" -mtime +60 -exec rm -rf {} \;
#删除60天前日志
循环脚本(防止计划被入侵者找到)
vi /home/defend
[Shell] 纯文本查看 复制代码 #!/bin/bash
while true ;do
/home/aide.sh >/dev/null 2>&1
sleep 7200
done
#两小时运行一次
启动命令
[Shell] 纯文本查看 复制代码 chmod +x aide.sh
chmod +x defend
nohup ./defend & >/dev/nell 2>&1
外部邮箱配置
yum install mailx
vi /etc/mail.rc
set from=xxx@163.com
set smtp=smtp.163.com
set smtp-auth-user=xxx@163.com
set smtp-auth-password=xxxxxxx
set smtp-auth=login
效果图
| 
发表于 2015-12-21 20:55:22
发表于 2015-12-22 08:34:04
