入侵检测工具之RKHunter & AIDE
发布日期:2021-08-26 15:47:24
浏览次数:11
分类:技术文章
本文共 2028 字,大约阅读时间需要 6 分钟。
一、入侵检测工具rkhunter
1、rkhunter是Linux系统平台下的一款开源入侵检测工具,具有非常全面的扫描范围。
rootkit hunter功能:
检测易受攻击的文件;
检测隐藏文件;
检测重要文件的权限;
检测系统端口号;
2、安装rkhunter
下载:http://sourceforge.net/projects/rkhunter
1 2 3 4 5 | tar zxvf rkhunter-1.4.0. tar .gz cd rkhunter-1.4.0 . /installer .sh – install vi /etc/rkhunter .conf LOGFILE= /tmp/rkhunter/tkhunter_ ` date +%Y%m%d`.log #修改生成日志文件位置 |
3、rkhunter使用
1 2 | rkhunter –checkall #执行rootkit预定库,来检测本地系统文件 rkhunter --checkall--skip-keypress #--skip-keyperss参数来自动持续检测,一直到结束 |
4、设置任务计划,定期检测
1 2 | crontab -e 30 08 * * * /usr/local/bin/rkhunter --checkall --cronjob #每天早上08:30执行一次,--cronjobb,作为一个cron运行 |
二、入侵检测工具aide
1、AIDE一款开源入侵检测工具,主要用途是检查文档的完整性。
AIDE通过构造指定文件的完整性样本库(快照),作为比对标准,当这些文件发生改动时,其对应的校验值也必然随之变化,AIDE可以识别这些变化从而提醒管理员。AIDE监控的属性变化主要包括:权限、属主、属组、文件大小、创建时间、最后修改时间、最后访问时间、增加的大小以及链接数,并能够使用SHA1、MD5等算法为每个文件生成校验码。
2、安装aide
下载:http://sourceforge.net/projects/aide
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 | yum install aide vi /etc/aide .conf database= file :@@{DBDIR} /aide .db.gz #系统镜像库位置 database_out= file :@@{DBDIR} /aide .db.new.gz #新生成系统镜像库,默认在/var/lib/aide/下 # Next decide whatdirectories/files you want in the database. /boot NORMAL /bin NORMAL /sbin NORMAL /lib NORMAL /lib64 NORMAL #/opt NORMAL #注释不检查目录 /usr NORMAL /root NORMAL # These are too volatile ,排除掉个别不检查的目录 ! /usr/src ! /usr/tmp #根据需求在下面添加新的检测目录 /etc/exports NORMAL /etc/fstab NORMAL /etc/passwd NORMAL |
3、aide使用
1 2 3 4 5 6 7 8 9 | aide --init #初始化,建立第一个样本库 cd /var/lib/aide/ ls aide.db.new.gz #新生成系统aide库 mv aide.db.new.gz aide.db.gz #需要重命名后才能使用 aide --check #确定正常运行aide库 aide --update #更新库,每次运行此命令,就会生成aide.db.new.gz,然后再重命名 mv aide.db.new.gz aide.db.gz mv : overwrite `aide.db.gz'? y |
4、aide入侵检测测试
我们更改了ftp可以登录系统的属性,使用aide检测,找出了与aide库不一样的文件。
1 | aide --check --report= file : /tmp/aide-check- ` date +%Y%m%d `.txt #--report是将信息输出到指定文件 |
5、设置任务计划,定期检测
1 2 | crontab –e 30 08 * * * /usr/sbin/aide --check--report= file : /tmp/aide-check- ` date +%Y%m%d `.txt #每天早上08:30执行一次 |
也可以将信息发送到邮件:
1 | 30 08 * * * /usr/sbin/aide --check| mail –s “AIDE report“ test @163.com |
转载地址:https://blog.csdn.net/weixin_33890499/article/details/90651103 如侵犯您的版权,请留言回复原文章的地址,我们会给您删除此文章,给您带来不便请您谅解!
发表评论
最新留言
不错!
[***.144.177.141]2024年03月28日 14时54分05秒
关于作者
喝酒易醉,品茶养心,人生如梦,品茶悟道,何以解忧?唯有杜康!
-- 愿君每日到此一游!
推荐文章
nginx配置文件里user只能是root,否则报403错误
2019-04-26
nginx 中location中root和alias的区别
2019-04-26
flowable集成后扫描不到jar包中mapping而报错
2019-04-26
flowable表单设计器选型
2019-04-26
高可用 Redis 服务架构分析与搭建
2019-04-26
flowable使用extensionElements自定义节点
2019-04-26
flowable自定义节点属性
2019-04-26
UE4-Gameplay技能系统
2019-04-26
TArray的MoveTemp推荐
2019-04-26
UnrealVS插件使用
2019-04-26
UE4 Low Level Memory Tracker使用
2019-04-26
UE4 PhyX物理引擎应用介绍
2019-04-26
UE4获取指定目录下所有文件
2019-04-26
UE4 遍历UserWidget下所有UI对象
2019-04-26
UE4 ReplicationGraph系统介绍
2019-04-26
过渡,动画与转换
2019-04-26
详解 弹性盒子
2019-04-26
js全选与全不选
2019-04-26
js放大镜
2019-04-26
js 倒计时demo
2019-04-26