在CentOS6.5上配置基于主机的入侵检测系统(IDS)

项目背景:

AIDE (“高级入侵检测环境”的简称)是一个开源的基于主机的入侵检测系统。AIDE通过检查大量文件属性的不一致性来检查系统二进制文件和基本配置文件的完整性,这些文件属性包括权限、文件类型、索引节点、链接数、链接名、用户、组、文件大小、块计数、修改时间、添加时间、创建时间、acl、SELinux安全上下文、xattrs,以及md5/sha校验值在内的各种特征。

AIDE通过扫描一台(未被篡改)的Linux服务器的文件系统来构建文件属性数据库,以后将服务器文件属性与数据库中的进行校对,然后在服务器运行时对被修改的索引了的文件发出警告。出于这个原因,AIDE必须在系统更新后或其配置文件进行合法修改后重新对受保护的文件做索引。

实验环境:

vmware workstation 11

centos6.5的系统下

服务器:ip:192.168.0.57

aide-0.14-7.el6.x86_64

SecureCRT (ssh远程连接软件)

通常我们需要在刚装好的系统上,干净的环境!

实验流程

一、软件下载

[[email protected] ~]# yum install aide -y

二、软件下载成功以后网络关闭

[[email protected] ~]# service network stop

三、AIDE数据库初始化

[[email protected] Desktop]# aide --init

AIDE, version 0.14

### AIDE database at /var/lib/aide/aide.db.new.gz initialized.

四、数据库文件重命名,不然的话AIDE读不出来

[[email protected] Desktop]#  mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

五、软件检查

直接在命令行输入aide (输入以后得等很久~~~~)

[[email protected] Desktop]# aide

AIDE found differences between database and filesystem!!

Start timestamp: 2016-03-22 03:09:05

Summary:

Total number of files: 85618

Added files: 0

Removed files: 0

Changed files: 39

---------------------------------------------------

Changed files:

---------------------------------------------------

changed: /usr/sbin

changed: /usr/libexec

changed: /usr/libexec/openssh

changed: /usr/libexec/gnome-screensaver

changed: /usr/libexec/awk

changed: /usr/libexec/gcc/x86_64-redhat-linux/4.4.4

changed: /usr/libexec/gnome-applets

changed: /usr/libexec/gstreamer-0.10

changed: /usr/libexec/file-roller

changed: /usr/libexec/polkit-1

changed: /usr/libexec/utempter

changed: /usr/libexec/pulse

changed: /usr/libexec/getconf

changed: /usr/libexec/webkitgtk

changed: /usr/lib/cups/driver

changed: /usr/lib/cups/filter

changed: /usr/lib64

changed: /usr/lib64/nspluginwrapper

changed: /usr/lib64/vte

changed: /usr/lib64/firefox

changed: /usr/lib64/seahorse

changed: /usr/lib64/pm-utils/bin

changed: /usr/lib64/udev

changed: /usr/lib64/gnome-session/helpers

changed: /usr/lib64/nss/unsupported-tools

changed: /usr/lib64/libv4l

changed: /usr/lib64/libgphoto2

changed: /usr/lib64/festival/etc

changed: /usr/lib64/perl5/CORE

changed: /usr/lib64/sa

changed: /usr/lib64/xulrunner

changed: /usr/lib64/gthumb

changed: /usr/lib64/hal/scripts

changed: /usr/bin

changed: /lib/udev

changed: /lib64

changed: /lib64/dbus-1

changed: /bin

changed: /sbin

--------------------------------------------------

Detailed information about changes:

---------------------------------------------------

Directory: /usr/sbin

Mtime    : 2016-03-22 02:44:18              , 2016-03-22 02:57:45

Ctime    : 2016-03-22 02:44:18              , 2016-03-22 02:57:45

Directory: /usr/libexec

Mtime    : 2016-03-22 02:44:34              , 2016-03-22 02:58:06

Ctime    : 2016-03-22 02:44:34              , 2016-03-22 02:58:06

Directory: /usr/libexec/openssh

Mtime    : 2016-03-22 02:44:35              , 2016-03-22 02:58:06

Ctime    : 2016-03-22 02:44:35              , 2016-03-22 02:58:06

Directory: /usr/libexec/gnome-screensaver

Mtime    : 2016-03-22 02:44:35              , 2016-03-22 02:58:07

Ctime    : 2016-03-22 02:44:35              , 2016-03-22 02:58:07

Directory: /usr/libexec/awk

Mtime    : 2016-03-22 02:44:35              , 2016-03-22 02:58:07

Ctime    : 2016-03-22 02:44:35              , 2016-03-22 02:58:07

Directory: /usr/libexec/gcc/x86_64-redhat-linux/4.4.4

Mtime    : 2016-03-22 02:44:36              , 2016-03-22 02:58:08

Ctime    : 2016-03-22 02:44:36              , 2016-03-22 02:58:08

Directory: /usr/libexec/gnome-applets

Mtime    : 2016-03-22 02:44:36              , 2016-03-22 02:58:08

Ctime    : 2016-03-22 02:44:36              , 2016-03-22 02:58:08

Directory: /usr/libexec/gstreamer-0.10

Mtime    : 2016-03-22 02:44:36              , 2016-03-22 02:58:08

Ctime    : 2016-03-22 02:44:36              , 2016-03-22 02:58:08

Directory: /usr/libexec/file-roller

Mtime    : 2016-03-22 02:44:36              , 2016-03-22 02:58:08

Ctime    : 2016-03-22 02:44:36              , 2016-03-22 02:58:08

Directory: /usr/libexec/polkit-1

Mtime    : 2016-03-22 02:44:36              , 2016-03-22 02:58:08

Ctime    : 2016-03-22 02:44:36              , 2016-03-22 02:58:08

Directory: /usr/libexec/utempter

Mtime    : 2016-03-22 02:44:36              , 2016-03-22 02:58:08

Ctime    : 2016-03-22 02:44:36              , 2016-03-22 02:58:08

Directory: /usr/libexec/pulse

Mtime    : 2016-03-22 02:44:36              , 2016-03-22 02:58:09

Ctime    : 2016-03-22 02:44:36              , 2016-03-22 02:58:09

Directory: /usr/libexec/getconf

Mtime    : 2016-03-22 02:44:36              , 2016-03-22 02:58:09

Ctime    : 2016-03-22 02:44:36              , 2016-03-22 02:58:09

Directory: /usr/libexec/webkitgtk

Mtime    : 2016-03-22 02:44:38              , 2016-03-22 02:58:10

Ctime    : 2016-03-22 02:44:38              , 2016-03-22 02:58:10

Directory: /usr/lib/cups/driver

Mtime    : 2016-03-22 02:44:38              , 2016-03-22 02:58:11

Ctime    : 2016-03-22 02:44:38              , 2016-03-22 02:58:11

Directory: /usr/lib/cups/filter

Mtime    : 2016-03-22 02:44:39              , 2016-03-22 02:58:12

Ctime    : 2016-03-22 02:44:39              , 2016-03-22 02:58:12

Directory: /usr/lib64

Mtime    : 2016-03-22 02:45:51              , 2016-03-22 02:59:15

Ctime    : 2016-03-22 02:45:51              , 2016-03-22 02:59:15

Directory: /usr/lib64/nspluginwrapper

Mtime    : 2016-03-22 02:45:52              , 2016-03-22 02:59:16

Ctime    : 2016-03-22 02:45:52              , 2016-03-22 02:59:16

Directory: /usr/lib64/vte

Mtime    : 2016-03-22 02:46:05              , 2016-03-22 02:59:31

Ctime    : 2016-03-22 02:46:05              , 2016-03-22 02:59:31

Directory: /usr/lib64/firefox

Mtime    : 2016-03-22 02:46:10              , 2016-03-22 02:59:36

Ctime    : 2016-03-22 02:46:10              , 2016-03-22 02:59:36

Directory: /usr/lib64/seahorse

Mtime    : 2016-03-22 02:46:12              , 2016-03-22 02:59:39

Ctime    : 2016-03-22 02:46:12              , 2016-03-22 02:59:39

Directory: /usr/lib64/pm-utils/bin

Mtime    : 2016-03-22 02:46:12              , 2016-03-22 02:59:39

Ctime    : 2016-03-22 02:46:12              , 2016-03-22 02:59:39

Directory: /usr/lib64/udev

Mtime    : 2016-03-22 02:46:12              , 2016-03-22 02:59:39

Ctime    : 2016-03-22 02:46:12              , 2016-03-22 02:59:39

Directory: /usr/lib64/gnome-session/helpers

Mtime    : 2016-03-22 02:46:13              , 2016-03-22 02:59:40

Ctime    : 2016-03-22 02:46:13              , 2016-03-22 02:59:40

Directory: /usr/lib64/nss/unsupported-tools

Mtime    : 2016-03-22 02:46:14              , 2016-03-22 02:59:41

Ctime    : 2016-03-22 02:46:14              , 2016-03-22 02:59:41

Directory: /usr/lib64/libv4l

Mtime    : 2016-03-22 02:46:15              , 2016-03-22 02:59:42

Ctime    : 2016-03-22 02:46:15              , 2016-03-22 02:59:42

Directory: /usr/lib64/libgphoto2

Mtime    : 2016-03-22 02:46:15              , 2016-03-22 02:59:42

Ctime    : 2016-03-22 02:46:15              , 2016-03-22 02:59:42

Directory: /usr/lib64/festival/etc

Mtime    : 2016-03-22 02:46:17              , 2016-03-22 02:59:44

Ctime    : 2016-03-22 02:46:17              , 2016-03-22 02:59:44

Directory: /usr/lib64/perl5/CORE

Mtime    : 2016-03-22 02:46:18              , 2016-03-22 02:59:45

Ctime    : 2016-03-22 02:46:18              , 2016-03-22 02:59:45

Directory: /usr/lib64/sa

Mtime    : 2016-03-22 02:46:20              , 2016-03-22 02:59:47

Ctime    : 2016-03-22 02:46:20              , 2016-03-22 02:59:47

Directory: /usr/lib64/xulrunner

Mtime    : 2016-03-22 02:46:27              , 2016-03-22 02:59:53

Ctime    : 2016-03-22 02:46:27              , 2016-03-22 02:59:53

Directory: /usr/lib64/gthumb

Mtime    : 2016-03-22 02:46:27              , 2016-03-22 02:59:54

Ctime    : 2016-03-22 02:46:27              , 2016-03-22 02:59:54

Directory: /usr/lib64/hal/scripts

Mtime    : 2016-03-22 02:46:27              , 2016-03-22 02:59:54

Ctime    : 2016-03-22 02:46:27              , 2016-03-22 02:59:54

Directory: /usr/bin

Mtime    : 2016-03-22 02:47:27              , 2016-03-22 03:01:02

Ctime    : 2016-03-22 02:47:27              , 2016-03-22 03:01:02

Directory: /lib/udev

Mtime    : 2016-03-22 02:54:03              , 2016-03-22 03:07:19

Ctime    : 2016-03-22 02:54:03              , 2016-03-22 03:07:19

Directory: /lib64

Mtime    : 2016-03-22 02:54:09              , 2016-03-22 03:07:25

Ctime    : 2016-03-22 02:54:09              , 2016-03-22 03:07:25

Directory: /lib64/dbus-1

Mtime    : 2016-03-22 02:54:10              , 2016-03-22 03:07:26

Ctime    : 2016-03-22 02:54:10              , 2016-03-22 03:07:26

Directory: /bin

Mtime    : 2016-03-22 02:54:13              , 2016-03-22 03:07:30

Ctime    : 2016-03-22 02:54:13              , 2016-03-22 03:07:30

Directory: /sbin

Mtime    : 2016-03-22 02:54:20              , 2016-03-22 03:07:36

Ctime    : 2016-03-22 02:54:20              , 2016-03-22 03:07:36

可以看到会有大量的输出!

总结:这是一款开源的入侵检测系统,相信你在自己的生产环境中会用到!

知识在于分享 谢谢大家

时间: 2024-10-12 10:23:27

在CentOS6.5上配置基于主机的入侵检测系统(IDS)的相关文章

在CentOS上配置基于主机的入侵检测系统(IDS)

所有系统管理员想要在他们生产服务器上首先要部署的安全手段之一,就是检测文件篡改的机制——不仅仅是文件内容,而且也包括它们的属性. AIDE (“高级入侵检测环境”的简称)是一个开源的基于主机的入侵检测系统.AIDE通过检查大量文件属性的不一致性来检查系统二进制文件和基本配置文件的完整 性,这些文件属性包括权限.文件类型.索引节点.链接数.链接名.用户.组.文件大小.块计数.修改时间.添加时间.创建时间.acl.SELinux安 全上下文.xattrs,以及md5/sha校验值在内的各种特征. A

如何在CentOS上配置基于主机的入侵检测系统?

任何系统管理员想要在其生产服务器上最先部署的安全措施之一就是检测文件篡改的机制――不法分子篡改的不仅仅是文件内容,还有文件属性. AIDE(全称“高级入侵检测环境”)是一种基于主机的开源入侵检测系统.AIDE通过检查许多文件属性的不一致性来检查系统二进制文件和基本配 置文件的完整性,这些文件属性包括权限.文件类型.索引节点(inode).链接数量.链接名称.用户.用户组.文件大小.块计数.修改时间.访问时间. 创建时间.访问控制列表(acl).SELinux安全上下文.xattrs以及md5/s

CentOS6.5上配置Python2.7+OpenCV2.4.7

本文讲述在Linux上使用配置Python调用OpenCV的开发环境 环境:CentOS 6.5 +Python2.7.8+OpenCV2.4.7 0.安装OpenCV环境要求(Installation in Linux) OpenCV.org的要求: GCC 4.4.x or later() CMake 2.8.7 or higher Git(如果直接下载了源码,这个没必要) GTK+2.x or higher, including headers (libgtk2.0-dev) pkg-co

centos6.5上配置apache + mysql + php4.4.9 + eaccelerator-0.9.5 + postgresql-8.3.13 备忘

1.apache + mysql 直接利用 yum 安装 yum -y install httpd httpd-devel mysql mysql-server httpd-manual mod_perl mod_auth_mysql mysql-connector-odbc mysql-devel libdbi-dbd-mysql 2.编译postgresql----- 3.编译php4.4.9./configure --enable-mbstring --with-zlib --withou

SharePoint 2013 为站点配置基于主机标头的双域名

SharePoint的应用中,经常需要配置双域名,为不同的认证方式提供访问入口,下面简单介绍下,如何以主机标头的方式为SharePoint配置双域名: 配置基于主机标头的双域名 1.原本可以访问的测试站点,如下图 2.去管理中心,为应用程序创建扩展应用程序,如下图: 3.填写扩展应用程序的名字,也就是第二个域名,如下图: 4.可以到IIS中查看,多出来一个Web站点,如下图: 5.然后就可以访问这个站点的地址了,如下图: 修改SharePoint站点主机标头 1.进入IIS,站点,如下图: 点击

配置基于主机名的虚拟主机及HTTPD 加密SSL配置以及HTTPS强制跳转

配置基于主机名的虚拟主机   1.先配置DNS DNS 安装 yum install bind* -y 开户防火墙 iptables -A INPUT -p tcp --dport 53 -j ACCEPT iptables -A INPUT -p udp --dport 53 -j ACCEPT iptables -A INPUT -p tcp --sport 53 -j ACCEPT iptables -A INPUT -p udp --sport 53 -j ACCEPT service

[入侵检测系统][IDS]CentOS6.6搭建基于snort+barnyard2+base的入侵检测系统

CentOS6.6搭建基于snort+barnyard2+base的入侵检测系统 由于网上对于linux下搭建基于snort的入侵检测系统不是很详细,这里我写个文档给大家参考参考: 本文档主要使用的软件已上传至百度云:http://pan.baidu.com/s/1qWui0c0 密码:y80f,其他软件可以根据文档中的命令在线下载安装: 文档中的命令大多可以直接使用(除非时间太久导致系统/软件/链接失去支持等),顺利的话,可以在2小时内搭建完毕: 如果安装报错,请检查步骤是否正确,然后百度/g

在 Tomcat 上配置虚拟主机

1.Tomcat 服务器的server.xml文件   (1)Tomcat 组件 Tomcat服务器是由一系列可配置的组件构成,其中核心组件是 Catalina Servlet 容器,它是所有其他 Tomcat 组件的顶层容器.Tomcat 的组件可以在 <CATALINA_HOME>/conf/server.xml 文件中进行配置,每个 Tomcat 组件在 server.xml 文件中对应一种配置元素.   (2)Tomcat 组件之间的关系 以下代码以 XML 的形式展示了各种 Tomc

在centos6.4上配置vim的一些零碎记录

上一篇日志已经step by step地实录了如何在本机mac上配置vim开发环境已经各种插件. 有了一定经验之后,把配置vim的环境到了实验室远程server上centos6.4的环境下配置,这台机器是内网服务器连外网比较麻烦. 主要就是多了server无法联网的条件,这个将来在公司配置开发机环境也是基本不能联网的,所以就当提前适应了吧. 这里把遇到的一些关键点记录下来,以便后个人后续查阅. 编译vim74 由于YouCompleteMe插件需要vim7.3高版本支持:而server上的vim