入侵检测工具之RKHunter & AIDE
2013-10-11 19:01
351 查看
一、入侵检测工具rkhunter
1、rkhunter是Linux系统平台下的一款开源入侵检测工具,具有非常全面的扫描范围。
rootkit hunter功能:
检测易受攻击的文件;
检测隐藏文件;
检测重要文件的权限;
检测系统端口号;
2、安装rkhunter
下载:http://sourceforge.net/projects/rkhunter
1、AIDE一款开源入侵检测工具,主要用途是检查文档的完整性。
AIDE通过构造指定文件的完整性样本库(快照),作为比对标准,当这些文件发生改动时,其对应的校验值也必然随之变化,AIDE可以识别这些变化从而提醒管理员。AIDE监控的属性变化主要包括:权限、属主、属组、文件大小、创建时间、最后修改时间、最后访问时间、增加的大小以及链接数,并能够使用SHA1、MD5等算法为每个文件生成校验码。
2、安装aide
下载:http://sourceforge.net/projects/aide
我们更改了ftp可以登录系统的属性,使用aide检测,找出了与aide库不一样的文件。
1、rkhunter是Linux系统平台下的一款开源入侵检测工具,具有非常全面的扫描范围。
rootkit hunter功能:
检测易受攻击的文件;
检测隐藏文件;
检测重要文件的权限;
检测系统端口号;
2、安装rkhunter
下载:http://sourceforge.net/projects/rkhunter
tar zxvf rkhunter-1.4.0.tar.gz cd rkhunter-1.4.0 ./installer.sh –install vi /etc/rkhunter.conf LOGFILE=/tmp/rkhunter/tkhunter_`date +%Y%m%d`.log #修改生成日志文件位置3、rkhunter使用
rkhunter –checkall #执行rootkit预定库,来检测本地系统文件 rkhunter --checkall--skip-keypress #--skip-keyperss参数来自动持续检测,一直到结束4、设置任务计划,定期检测
crontab -e 30 08 * * * /usr/local/bin/rkhunter --checkall --cronjob #每天早上08:30执行一次,--cronjobb,作为一个cron运行二、入侵检测工具aide
1、AIDE一款开源入侵检测工具,主要用途是检查文档的完整性。
AIDE通过构造指定文件的完整性样本库(快照),作为比对标准,当这些文件发生改动时,其对应的校验值也必然随之变化,AIDE可以识别这些变化从而提醒管理员。AIDE监控的属性变化主要包括:权限、属主、属组、文件大小、创建时间、最后修改时间、最后访问时间、增加的大小以及链接数,并能够使用SHA1、MD5等算法为每个文件生成校验码。
2、安装aide
下载:http://sourceforge.net/projects/aide
yum install aide vi /etc/aide.conf database=file:@@{DBDIR}/aide.db.gz #系统镜像库位置 database_out=file:@@{DBDIR}/aide.db.new.gz #新生成系统镜像库,默认在/var/lib/aide/下 # Next decide whatdirectories/files you want in the database. /boot NORMAL /bin NORMAL /sbin NORMAL /lib NORMAL /lib64 NORMAL #/opt NORMAL #注释不检查目录 /usr NORMAL /root NORMAL # These are too volatile ,排除掉个别不检查的目录 !/usr/src !/usr/tmp #根据需求在下面添加新的检测目录 /etc/exports NORMAL /etc/fstab NORMAL /etc/passwd NORMAL3、aide使用
aide --init #初始化,建立第一个样本库 cd /var/lib/aide/ ls aide.db.new.gz #新生成系统aide库 mv aide.db.new.gz aide.db.gz #需要重命名后才能使用 aide --check #确定正常运行aide库 aide --update #更新库,每次运行此命令,就会生成aide.db.new.gz,然后再重命名 mv aide.db.new.gz aide.db.gz mv: overwrite `aide.db.gz'? y4、aide入侵检测测试
我们更改了ftp可以登录系统的属性,使用aide检测,找出了与aide库不一样的文件。
aide --check --report=file:/tmp/aide-check-`date +%Y%m%d `.txt #--report是将信息输出到指定文件5、设置任务计划,定期检测
crontab –e 30 08 * * * /usr/sbin/aide --check--report=file:/tmp/aide-check-` date +%Y%m%d `.txt #每天早上08:30执行一次也可以将信息发送到邮件:
30 08 * * * /usr/sbin/aide --check| mail –s “AIDE report“ test@163.com
相关文章推荐
- 入侵检测工具之RKHunter & AIDE
- Solaris服务器配置高级入侵检测工具AIDE
- 入侵检测工具AIDE极简教程
- aide入侵检测工具与crontab
- Linux入侵检测工具 - RKHunter
- linux下系统级入侵检测工具AIDE
- 五大免费企业网络入侵检测工具(IDS)
- AIDE --Linux高级入侵检测
- linux入侵后的必要工作。及rootkit的监测工具rkhunter简析
- AIDE入侵检测系统的应用
- Linux后门入侵检测工具
- java防SQL注入html编码入侵特殊字符转义和方法入参检测工具(Spring)
- 认识Linux平台四大IDS入侵检测工具
- java 防SQL注入 html编码入侵 特殊字符转义 方法入参检测工具 (Spring)
- ubuntu17.04下安装开源入侵检测工具snort
- Linux后门入侵检测方法以及工具
- java 防SQL注入 html编码入侵 特殊字符转义 方法入参检测工具 (Spring)
- 五款入侵检测工具介绍
- 入侵检测工具Watcher(含源码)
- 安全运维之:Linux后门入侵检测工具,附bash漏洞最终解决方法