aide安全审计

Jan 21, 2019 00:00 · 754 words · 2 minute read aide

Aide通过创建一个数据库(它只是文件系统的选定部分的一个快照),通过配置文件中定义的正则表达式规则来工作。 一旦这个数据库被初始化,你可以验证系统文件的完整性。

安装

yum install aide

vi /etc/aide.conf

规则

PERMS = p+u+g+acl+selinux+xattrs

PERMS规则仅用于访问控制,它将根据文件/目录权限,用户,组,访问控制权限,SELinux上下文和文件属性检测对文件或目录的任何更改。

这只会检查文件内容和文件类型。

CONTENT = sha256+ftype
这是以前规则的扩展版本,它检查扩展内容,文件类型和访问。

CONTENT_EX = sha256+ftype+p+u+g+n+acl+selinux+xattrs
下面的DATAONLY规则将帮助检测所有文件/目录内数据的任何更改。

DATAONLY =  p+n+u+g+s+acl+selinux+xattrs+sha256
定义规则来观察文件和目录
一旦你定义了规则,你可以指定要观看的文件和目录。 考虑到上面的PERMS规则,这个定义将检查根目录中所有文件的权限。

/root/\..*  PERMS
这将检查/ root目录中的所有文件以进行任何更改。

/root/   CONTENT_EX
为了帮助您检测/ etc /下所有文件/目录内数据的任何更改,请使用此。

/etc/   DATAONLY 

使用

使用AIDE在Linux中检查文件和目录完整性

首先构建一个数据库,对照将使用–init标志执行的检查。在系统连接到网络之前完成此操作。

下面的命令将创建一个数据库,其中包含您在配置文件中选择的所有文件。

aide --init

然后在继续之前使用此命令将数据库重命名为/var/lib/aide/aide.db.gz 。

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

将数据库移到安全的位置,并确保更新配置文件以便从那里读取。

在创建数据库之后,您现在可以使用–check标志来–check文件和目录的完整性。

aide --check

它将读取数据库中的快照,并将其与系统磁盘中找到的文件/目录进行比较。 如果发现您可能不期望的地方发生了变化,则会生成一份报告,然后您可以查看。

在已经选择的文件发生任何更改的情况下,或者在配置文件中添加新的文件定义时,请始终使用–update选项更新数据库

aide --update