linux***检测工具之aide

  • AIDE(Advanced Intrusion Detection Environment,高级检测环境)是个检测工具,主它通过系统的“缩影”来进行对比,将期间的操作记录清楚的继续下来。比如说一个×××在你的服务器里做了一些手脚,或者抓你的服务器去当矿工了,如果有了aide,进过对比就会知道操作记录,从而知道对方增、删、改、查了什么文件,这样修改回来就可以了。
    下面来说aide的安装:

    • 如果是centos系统的话,更新yum源后直接? yum install aide -y 就可以了;这样的安装,配置文件在/etc/aide.cconf;

    当时公司使用的debian,其实apt-get install aide安装是可以的,但是在使用过程中多多少少出现了一些问题(其实是系统和安装包的问题),就使用安装包的方式安装了;

    需要的包:flex、bison、mhash、zlib;

    我这里下载了一个mhash包,其他的都是源直接安装的。
    ?? ??tar xzvf mhash-0.9.9.9.tar.gz? ? ? ? ? ? ? ? ? //解压安装包
    ? ? ?cd mhash-0.9.9.9/? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?//进入解压出来的目录
    ?? ?./configure? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?//执行configure
    ?? ?make? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? //make编译
    ?? ?make install? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? //安装

    ok,现在已经安装好mhash包了,再来安装其他的。

    ? ? ?apt-get install bison

    如果install安装不成功的话就使用? ??aptitude install bison? ? 进行安装;

    我在用install安装的时候就报错了,使用aptitude install bison可以进行智能安装,如果没有aptitude命令install安装一下就ok了;

    ? ? ?apt-get install flex -y
    ? ? ?apt-get install zlib*?? ?

    安装zlib的时候包太多,解压下来大概有800+MB,所以事先看看好自己的硬盘容量;

    ?? ?tar xzvf aide-0.15.1.tar.gz? ? ? ? ? ? ? ? ? ? ?//解压下载的aide包
    ?? ?cd aide-0.15.1/? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?//进入解压的目录
    ?? ?./configure --prefix=/usr/local/aide --with-mhash? ? ? //指定安装目录和相关包
    ?? ?make? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? //make 编译
    ?? ?make install? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? //安装

    我的是安装在/usr/local/aide下的;

    ?? ?在 /usr/local/aide/ 下新建etc文件夹:
    ?? ??? ?mkdir etc? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? //新建etc文件夹用于存放配置文件

    进入 aide-0.15.1/? 解压包里的doc文件夹,将aide.conf配置文件拷贝到 /usr/local/aide/etc/下,

    ? ? cp aide-0.15.1/doc/aide.conf? ? ? /usr/local/aide/etc/

    将aide的可执行文件复制到/bin下,方便命令的使用,不过这个好像还是不好用,不如用? /usr/local/aide/bin? ?下的aide:?
    ? ? ? ? ? ? ? ? ? ? ? ? ?cp /usr/local/aide? ? ?/bin? ? ? ? ? ? ? ? ? ? ? ??
    ?? ?
    ?? ?配置aide.conf文件,找到下面参数,修改如下:
    ?? ??? ?database=file:/usr/local/aide/aide.db.gz?? ??? ??? ??? ?#生成的系统镜像目录和格式
    ?? ??? ?database_out=file:/usr/local/aide/aide.db.new.gz?? ??? ?#新生成的系统镜像目录和格式
    ? ? ? 在最后添加如下(这些是要监控或者说是要生成系统镜像的目录):
    ?? ??? ??? ?/bin R
    ?? ??? ??? ?/sbin R
    ?? ??? ??? ?/usr R
    ?? ??? ??? ?/etc R
    ?? ??? ??? ?/tmp R
    ?? ??? ??? ?/root R

    完成配置之后就可以使用了:

    ? 执行? ?/usr/local/aide/bin/aide? ? --init? 或者? ???/usr/local/aide/bin/aide? ? -i? 生成系统镜像

    (总感觉这么说不对劲,镜像......(⊙o⊙)…)

    这时??/usr/local/aide/下会有一个aide.db.new.gz文件,

    需要修改一下:? mv??aide.db.new.gz? ?aide.db.gz? ? ?//这样就从新的系统镜像变成了系统镜像,哈哈......

    aide.db.gz文件就相当于记录了系统当时的属性,如果配置文件里的那些文件夹有任何改动的话都会发现。

    执行? ??usr/local/aide/bin/aide? ?-C? 就可以了,这个C是大写的!

    等待输出结果就ok了,自己可以测试下;

    原文地址:http://blog.51cto.com/13577495/2149617

    时间: 2024-10-11 14:49:01

    linux***检测工具之aide的相关文章

    linux入侵检测工具之AIDE

    1.aide的概述 AIDE(Adevanced Intrusion Detection Environment,高级入侵检测环境)是个入侵检测工具,主要用途是检查文本的完整性. AIDE能够构造一个指定文档的数据库,他使用aide.conf作为其配置文档.AIDE数据库能够保存文档的各种属性,包括:权限 (permission).索引节点序号(inode number).所属用户(user).所属用户组(group).文档大小.最后修改时间(mtime).创建时间(ctime).最后访问时间

    Linux后门入侵检测工具,附bash漏洞解决方法[转载]

    转自:http://blog.jobbole.com/77663/ 官网 ClamAV杀毒软件介绍 ClamAV是一个在命令行下查毒软件,因为它不将杀毒作为主要功能,默认只能查出您计算机内的病毒,但是无法清除,至多删除文件.ClamAV可以工作很多的平台上,但是有少数无法支持,这就要取决您所使用的平台的流行程度了.另外它主要是来防护一些WINDOWS病毒和木马程序.另外,这是一个面向服务端的软件. 下载ClamAV安装包 ClamAV的官方下载地址为http://www.clamav.net/d

    Linux后门入侵检测工具,附bash漏洞解决方法

    一.rootkit简介 rootkit是Linux平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马.rootkit攻击能力极强,对系统的危害很大,它通过一套工具来建立后门和隐藏行迹,从而让攻击者保住权限,以使它在任何时候都可以使用root权限登录到系统. rootkit主要有两种类型:文件级别和内核级别,下面分别进行简单介绍. 1.文件级别rootkit 文件级别的rootkit一般是通

    安全运维之:Linux后门入侵检测工具,附最新bash漏洞解决方法

    一.rootkit简介 rootkit是Linux平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马.rootkit攻击能力极强,对系统的危害很大,它通过一套工具来建立后门和隐藏行迹,从而让攻击者保住权限,以使它在任何时候都可以使用root权限登录到系统. rootkit主要有两种类型:文件级别和内核级别,下面分别进行简单介绍. 1.文件级别rootkit 文件级别的rootkit一般是通

    安全运维之:Linux后门入侵检测工具的使用

    一.rootkit简介 rootkit是Linux平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马.rootkit攻击能力极强,对系统的危害很大,它通过一套工具来建立后门和隐藏行迹,从而让攻击者保住权限,以使它在任何时候都可以使用root权限登录到系统. rootkit主要有两种类型:文件级别和内核级别,下面分别进行简单介绍. 1.文件级别rootkit 文件级别的rootkit一般是通

    【一点一滴,成材之基!】 Linux后门Trojan Horse检测工具

    目录:(一)Trojan Horse后门工具了解(二)rootkit后门检测工具chkrootkit(三)rootkit后门检测工具RKHunter (一)Trojan Horse后门工具了解(1.1)rootkit是Linux平台下最常见的一种Trojan Horse后门工具,它主要通过替换系统文件来达到attack和隐蔽的目的,这种Trojan Horse比普通Trojan Horse后门更加危险和隐蔽,普通的监测工具和检查手段很难发现这种Trojan Horse.rootkit的 accu

    【调试】Linux下超强内存检测工具Valgrind

    [调试]Linux下超强内存检测工具Valgrind 内容简介 Valgrind是什么? Valgrind的使用 Valgrind详细教程 1. Valgrind是什么? Valgrind是一套Linux下,开放源代码(GPLV2)的仿真调试工具的集合.Valgrind由内核(core)以及基于内核的其他调试工具组成. 内核类似于一个框架(framework),它模拟了一个CPU环境,并提供服务给其他工具:而其他工具则类似于插件 (plug-in),利用内核提供的服务完成各种特定的内存调试任务.

    linux安全---系统更新+弱口令检测工具+nmap扫描工具

    1.添加yum及更新系统 a.更新设置: echo  "0 3 * * 6 yum -y  update" >>/var/spool/cron/root b.添加repo源也叫yum源 添加国内mirrors,提速: cd  /etc/yum.repos.d/ mv  ./*  /root/ wget http://mirrors.aliyun.com/repo/Centos-6.repo   ##下载阿里云yum源 yum  makecache  ##生成缓存 yum  

    linux下内存泄露检测工具Valgrind

    日前在linux开发一个分析实时路况的应用程序,在联合测试中发现程序存在内存泄露的情况. 这下着急了,马上就要上线了,还好发现了一款Valgrind工具,完美的解决了内存泄露的问题. 推荐大家可以使用看看. Valgrind是运行在Linux上一套基于仿真技术的程序调试和分析工具,它的主要作者是获得过Google-O'Reilly开源大奖的Julian Seward,它包含一个内核──一个软件合成的CPU,和一系列的小工具,每个工具都可以完成一项任务──调试,分析,或测试等.Valgrind可以