怎样在CentOS上配置基于主机的入侵检测系统
发布时间:2022-05-11 09:10:17 所属栏目:安全 来源:互联网
导读:任何系统管理员想要在其生产服务器上最先部署的安全措施之一就是检测文件篡改的机制――不法分子篡改的不仅仅是文件内容,还有文件属性。 AIDE(全称高级入侵检测环境)是一种基于主机的开源入侵检测系统。AIDE通过检查许多文件属性的不一致性来检查系统二进制
|
任何系统管理员想要在其生产服务器上最先部署的安全措施之一就是检测文件篡改的机制――不法分子篡改的不仅仅是文件内容,还有文件属性。 AIDE(全称“高级入侵检测环境”)是一种基于主机的开源入侵检测系统。AIDE通过检查许多文件属性的不一致性来检查系统二进制文件和基本配置文件的完整性,这些文件属性包括权限、文件类型、索引节点(inode)、链接数量、链接名称、用户、用户组、文件大小、块计数、修改时间、访问时间、创建时间、访问控制列表(acl)、SELinux安全上下文、xattrs以及md5/sha校验和。 AIDE通过扫描一台(未被篡改)的Linux服务器的文件系统来构建文件属性数据库。然后,它对照该数据库,检查服务器的文件属性,然后在服务器运行时,一旦索引文件出现任何更改,就发出警告。正是由于这个原因,每当由于正当原因而更新系统或更改配置文件后,AIDE必须重新为受保护的文件编制索引。 对某些客户而言,他们的安全策略可能要求在服务器上安装某种入侵检测系统(IDS)。但无论客户是不是要求IDS,系统管理员部署IDS都是个好的做法。 默认配置文件位于/etc/aide.conf。该文件提供了几个示例保护规则(比如FIPSR、NORMAL、DIR和DATAONLY),每个规则后面跟着一个等号以及要检查的文件属性列表,或者任何预定义规则(用+分隔)。你也可以使用这种格式定义任何自定义规则。 如何在CentOS上配置基于主机的入侵检测系统? FIPSR = p+i+n+u+g+s+m+c+acl+selinux+xattrs+sha256 NORMAL = FIPSR+sha512 比如说,上述例子意味着,NORMAL规则将检查下列属性方面的不一致性:权限(p)、索引节点(i)、链接数量(n)、用户(u)、用户组(g)、大小(s)、修改时间(m)、创建时间(c)、访问控制列表(acl)、SELinux(selinux)、xattrs(xattr)以及SHA256/SHA512校验和(sha256和sha512)。 定义的规则可以灵活地用于不同的目录和文件(用正则表达式表示)。 (编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330482号