侵入検知ツールのRKHunter&AIDE
一、侵入検出ツールrkhunter
1、rkhunterはLinuxシステムプラットフォームの下のオープンソース侵入検出ツールであり、非常に全面的なスキャン範囲を持っている.
rootkit hunter機能:
攻撃を受けやすいファイルを検出します.
非表示ファイルの検出;
重要なファイルの権限を検出します.
システムポート番号を検出します.
2、rkhunterのインストール
ダウンロード:http://sourceforge.net/projects/rkhunter
3、rkhunter使用
4、任務計画を設定し、定期的に検査する
二、侵入検出ツールaide
1、AIDEはオープンソース侵入検出ツールで、主な用途は文書の完全性を検査することである.
AIDEは、指定されたファイルの整合性サンプルライブラリ(スナップショット)を構築することによって、比較基準として、これらのファイルが変更されると、対応する検証値も必然的に変化し、AIDEはこれらの変化を認識して管理者に注意することができる.AIDEモニタリングの属性変化は主に、権限、所有者、グループ、ファイルサイズ、作成時間、最終修正時間、最終アクセス時間、増加したサイズおよびリンク数を含み、SHA 1、MD 5などのアルゴリズムを使用してファイルごとに検証コードを生成することができる.
2、aideのインストール
ダウンロード:http://sourceforge.net/projects/aide
3、aide使用
4、aide侵入検出テスト
ftpがシステムにログインできるプロパティを変更し、aide検出を使用してaideライブラリとは異なるファイルを見つけました.
5、任務計画を設定し、定期的に検査する
メッセージをメールに送信することもできます.
1、rkhunterはLinuxシステムプラットフォームの下のオープンソース侵入検出ツールであり、非常に全面的なスキャン範囲を持っている.
rootkit hunter機能:
攻撃を受けやすいファイルを検出します.
非表示ファイルの検出;
重要なファイルの権限を検出します.
システムポート番号を検出します.
2、rkhunterのインストール
ダウンロード:http://sourceforge.net/projects/rkhunter
tar zxvf rkhunter-1.4.0.tar.gz
cd rkhunter-1.4.0
./installer.sh �Cinstall
vi /etc/rkhunter.conf
LOGFILE=/tmp/rkhunter/tkhunter_`date +%Y%m%d`.log #
3、rkhunter使用
rkhunter �Ccheckall # rootkit ,
rkhunter --checkall--skip-keypress #--skip-keyperss ,
4、任務計画を設定し、定期的に検査する
crontab -e
30 08 * * * /usr/local/bin/rkhunter --checkall --cronjob # 08:30 ,--cronjobb, cron
二、侵入検出ツールaide
1、AIDEはオープンソース侵入検出ツールで、主な用途は文書の完全性を検査することである.
AIDEは、指定されたファイルの整合性サンプルライブラリ(スナップショット)を構築することによって、比較基準として、これらのファイルが変更されると、対応する検証値も必然的に変化し、AIDEはこれらの変化を認識して管理者に注意することができる.AIDEモニタリングの属性変化は主に、権限、所有者、グループ、ファイルサイズ、作成時間、最終修正時間、最終アクセス時間、増加したサイズおよびリンク数を含み、SHA 1、MD 5などのアルゴリズムを使用してファイルごとに検証コードを生成することができる.
2、aideのインストール
ダウンロード:http://sourceforge.net/projects/aide
yum install aide
vi /etc/aide.conf
database=file:@@{DBDIR}/aide.db.gz #
database_out=file:@@{DBDIR}/aide.db.new.gz # , /var/lib/aide/
# Next decide whatdirectories/files you want in the database.
/boot NORMAL
/bin NORMAL
/sbin NORMAL
/lib NORMAL
/lib64 NORMAL
#/opt NORMAL #
/usr NORMAL
/root NORMAL
# These are too volatile ,
!/usr/src
!/usr/tmp
#
/etc/exports NORMAL
/etc/fstab NORMAL
/etc/passwd NORMAL
3、aide使用
aide --init # ,
cd /var/lib/aide/
ls
aide.db.new.gz # aide
mv aide.db.new.gz aide.db.gz #
aide --check # aide
aide --update # , , aide.db.new.gz,
mv aide.db.new.gz aide.db.gz
mv: overwrite `aide.db.gz'? y
4、aide侵入検出テスト
ftpがシステムにログインできるプロパティを変更し、aide検出を使用してaideライブラリとは異なるファイルを見つけました.
aide --check --report=file:/tmp/aide-check-`date +%Y%m%d `.txt #--report
5、任務計画を設定し、定期的に検査する
crontab �Ce
30 08 * * * /usr/sbin/aide --check--report=file:/tmp/aide-check-` date +%Y%m%d `.txt # 08:30
メッセージをメールに送信することもできます.
30 08 * * * /usr/sbin/aide --check| mail �Cs “AIDE report“ [email protected]