首页 博客列表 精选博客 智能问答 chat-GPT 关于我
入侵检测工具之RKHunter & AIDE
发布日期:2021-08-26 15:47:24 浏览次数:11 分类:技术文章

本文共 2028 字,大约阅读时间需要 6 分钟。

一、入侵检测工具rkhunter

1rkhunter是Linux系统平台下的一款开源入侵检测工具,具有非常全面的扫描范围。

rootkit hunter功能:

检测易受攻击的文件;

检测隐藏文件;

检测重要文件的权限;

检测系统端口号;

2、安装rkhunter

下载:http://sourceforge.net/projects/rkhunter

1
2
3
4
5
tar 
zxvf rkhunter-1.4.0.
tar
.gz
cd 
rkhunter-1.4.0
.
/installer
.sh –
install
vi 
/etc/rkhunter
.conf
LOGFILE=
/tmp/rkhunter/tkhunter_
`
date 
+%Y%m%d`.log  
#修改生成日志文件位置

3、rkhunter使用

1
2
rkhunter –checkall 
#执行rootkit预定库,来检测本地系统文件
rkhunter --checkall--skip-keypress  
#--skip-keyperss参数来自动持续检测,一直到结束

4、设置任务计划,定期检测

1
2
crontab 
-e
30 08 * * * 
/usr/local/bin/rkhunter 
--checkall --cronjob  
#每天早上08:30执行一次,--cronjobb,作为一个cron运行

二、入侵检测工具aide

1、AIDE一款开源入侵检测工具,主要用途是检查文档的完整性。

AIDE通过构造指定文件的完整性样本库(快照),作为比对标准,当这些文件发生改动时,其对应的校验值也必然随之变化,AIDE可以识别这些变化从而提醒管理员。AIDE监控的属性变化主要包括:权限、属主、属组、文件大小、创建时间、最后修改时间、最后访问时间、增加的大小以及链接数,并能够使用SHA1、MD5等算法为每个文件生成校验码。

2、安装aide

下载:http://sourceforge.net/projects/aide

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
yum 
install 
aide
vi 
/etc/aide
.conf
database=
file
:@@{DBDIR}
/aide
.db.gz  
#系统镜像库位置
database_out=
file
:@@{DBDIR}
/aide
.db.new.gz  
#新生成系统镜像库,默认在/var/lib/aide/下
# Next decide whatdirectories/files you want in the database.
/boot   
NORMAL
/bin    
NORMAL
/sbin   
NORMAL
/lib    
NORMAL
/lib64  
NORMAL
#/opt    NORMAL #注释不检查目录
/usr    
NORMAL
/root   
NORMAL
# These are too volatile ,排除掉个别不检查的目录
!
/usr/src
!
/usr/tmp
#根据需求在下面添加新的检测目录
/etc/exports  
NORMAL
/etc/fstab    
NORMAL
/etc/passwd   
NORMAL

3、aide使用

1
2
3
4
5
6
7
8
9
aide --init  
#初始化,建立第一个样本库
cd 
/var/lib/aide/
ls
aide.db.new.gz  
#新生成系统aide库
mv 
aide.db.new.gz aide.db.gz  
#需要重命名后才能使用
aide --check  
#确定正常运行aide库
aide --update  
#更新库,每次运行此命令,就会生成aide.db.new.gz,然后再重命名
mv 
aide.db.new.gz aide.db.gz
mv
: overwrite `aide.db.gz'? y

4、aide入侵检测测试

我们更改了ftp可以登录系统的属性,使用aide检测,找出了与aide库不一样的文件。

1
aide --check --report=
file
:
/tmp/aide-check-
`
date 
+%Y%m%d `.txt 
#--report是将信息输出到指定文件

5、设置任务计划,定期检测

1
2
crontab 
–e
30 08 * * * 
/usr/sbin/aide 
--check--report=
file
:
/tmp/aide-check-
date 
+%Y%m%d `.txt 
#每天早上08:30执行一次

也可以将信息发送到邮件:

1
30 08 * * * 
/usr/sbin/aide 
--check| mail –s “AIDE report“ 
test
@163.com

转载地址:https://blog.csdn.net/weixin_33890499/article/details/90651103 如侵犯您的版权,请留言回复原文章的地址,我们会给您删除此文章,给您带来不便请您谅解!

上一篇:数据库服务器改名导致Reporting Service不可用的案例
下一篇:PHP 之session cookie

发表评论

最新留言

不错!
[***.144.177.141]2024年03月28日 14时54分05秒

关于作者

    喝酒易醉,品茶养心,人生如梦,品茶悟道,何以解忧?唯有杜康!
-- 愿君每日到此一游!

推荐文章

nginx配置文件里user只能是root,否则报403错误 2019-04-26
nginx 中location中root和alias的区别 2019-04-26
flowable集成后扫描不到jar包中mapping而报错 2019-04-26
flowable表单设计器选型 2019-04-26
高可用 Redis 服务架构分析与搭建 2019-04-26
flowable使用extensionElements自定义节点 2019-04-26
flowable自定义节点属性 2019-04-26
UE4-Gameplay技能系统 2019-04-26
TArray的MoveTemp推荐 2019-04-26
UnrealVS插件使用 2019-04-26
UE4 Low Level Memory Tracker使用 2019-04-26
UE4 PhyX物理引擎应用介绍 2019-04-26
UE4获取指定目录下所有文件 2019-04-26
UE4 遍历UserWidget下所有UI对象 2019-04-26
UE4 ReplicationGraph系统介绍 2019-04-26
过渡,动画与转换 2019-04-26
详解 弹性盒子 2019-04-26
js全选与全不选 2019-04-26
js放大镜 2019-04-26
js 倒计时demo 2019-04-26
白红宇的个人博客 - 记录点点滴滴的事 - 您是第 306152196 位访客
访问时间: 2024-04-19 08:54:05 访问IP: 3.128.198.21     Copyright © 2020 - 2023 blog.css8.cn 京ICP备2021015314号-1 手机版