所有系統(tǒng)管理員想要在他們生產(chǎn)服務(wù)器上首先要部署的安全手段之一，就是檢測文件篡改的機(jī)制——不僅僅是文件內(nèi)容，而且也包括它們的屬性。

[[122852]]

AIDE （“高級入侵檢測環(huán)境”的簡稱）是一個(gè)開源的基于主機(jī)的入侵檢測系統(tǒng)。AIDE通過檢查大量文件屬性的不一致性來檢查系統(tǒng)二進(jìn)制文件和基本配置文件的完整性，這些文件屬性包括權(quán)限、文件類型、索引節(jié)點(diǎn)、鏈接數(shù)、鏈接名、用戶、組、文件大小、塊計(jì)數(shù)、修改時(shí)間、添加時(shí)間、創(chuàng)建時(shí)間、acl、SELinux安全上下文、xattrs，以及md5/sha校驗(yàn)值在內(nèi)的各種特征。

AIDE通過掃描一臺（未被篡改）的Linux服務(wù)器的文件系統(tǒng)來構(gòu)建文件屬性數(shù)據(jù)庫，以后將服務(wù)器文件屬性與數(shù)據(jù)庫中的進(jìn)行校對，然后在服務(wù)器運(yùn)行時(shí)對被修改的索引了的文件發(fā)出警告。出于這個(gè)原因，AIDE必須在系統(tǒng)更新后或其配置文件進(jìn)行合法修改后重新對受保護(hù)的文件做索引。

對于某些客戶，他們可能會根據(jù)他們的安全策略在他們的服務(wù)器上強(qiáng)制安裝某種入侵檢測系統(tǒng)。但是，不管客戶是否要求，系統(tǒng)管理員都應(yīng)該部署一個(gè)入侵檢測系統(tǒng)，這通常是一個(gè)很好的做法。

在 CentOS或RHEL 上安裝AIDE

AIDE的初始安裝（同時(shí)是首次運(yùn)行）最好是在系統(tǒng)剛安裝完后，并且沒有任何服務(wù)暴露在互聯(lián)網(wǎng)甚至局域網(wǎng)時(shí)。在這個(gè)早期階段，我們可以將來自外部的一切闖入和破壞風(fēng)險(xiǎn)降到最低限度。事實(shí)上，這也是確保系統(tǒng)在AIDE構(gòu)建其初始數(shù)據(jù)庫時(shí)保持干凈的唯一途徑。（LCTT 譯注：當(dāng)然，如果你的安裝源本身就存在安全隱患，則無法建立可信的數(shù)據(jù)記錄）

出于上面的原因，在安裝完系統(tǒng)后，我們可以執(zhí)行下面的命令安裝AIDE：

 # yum install aide 

我們需要將我們的機(jī)器從網(wǎng)絡(luò)斷開，并實(shí)施下面所述的一些基本配置任務(wù)。

配置AIDE

默認(rèn)配置文件是/etc/aide.conf，該文件介紹了幾個(gè)示例保護(hù)規(guī)則（如FIPSR，NORMAL，DIR，DATAONLY），各個(gè)規(guī)則后面跟著一個(gè)等號以及要檢查的文件屬性列表，或者某些預(yù)定義的規(guī)則（由+分隔）。你也可以使用此種格式自定義規(guī)則。

FIPSR = p+i+n+u+g+s+m+c+acl+selinux+xattrs+sha256
NORMAL = FIPSR+sha512

例如，上面的例子說明，NORMAL規(guī)則將檢查下列屬性的不一致性：權(quán)限（p）、索引節(jié)點(diǎn)（i）、鏈接數(shù)（n）、用戶（u）、組（g）、大小（s）、修改時(shí)間（m）、創(chuàng)建時(shí)間（c）、ACL（acl）、SELinux（selinux）、xattrs（xattr）、SHA256/SHA512校驗(yàn)和（sha256和sha512）。

定義的規(guī)則可靈活地用于不同的目錄和文件（用正則表達(dá)式表示）。

條目之前的感嘆號（！）告訴AIDE忽略子目錄（或目錄中的文件），對于這些可以另外定義規(guī)則。

在上面的例子中，PERMS是用于/etc機(jī)器子目錄和文件的默認(rèn)規(guī)則。然而，對于/etc中的備份文件（如/etc/.*~）則不應(yīng)用任何規(guī)則，也沒有規(guī)則用于/etc/mtab文件。對于/etc中的其它一些選定的子目錄或文件，使用NORMAL規(guī)則替代默認(rèn)規(guī)則PERMS。

定義并應(yīng)用正確的規(guī)則到系統(tǒng)中正確的位置，是使用AIDE最難的一部分，但作一個(gè)好的判斷是一個(gè)良好的開始。作為首要的一條規(guī)則，不要檢查不必要的屬性。例如，檢查/var/log或/var/spool里頭的文件的修改時(shí)間將導(dǎo)致大量誤報(bào)，因?yàn)樵S多的應(yīng)用程序和守護(hù)進(jìn)程經(jīng)常會寫入內(nèi)容到該位置，而這些內(nèi)容都沒有問題。此外，檢查多個(gè)校驗(yàn)值可能會加強(qiáng)安全性，但隨之而來的是AIDE的運(yùn)行時(shí)間的增加。

可選的，如果你使用MAILTO變量指定電子郵件地址，就可以將檢查結(jié)果發(fā)送到你的郵箱。將下面這一行放到/etc/aide.conf中的任何位置即可。

MAILTO=root@localhost

首次運(yùn)行AIDE

運(yùn)行以下命令來初始化AIDE數(shù)據(jù)庫：

 # aide --init 

根據(jù)/etc/aide.conf生成的/var/lib/aide/aide.db.new.gz文件需要被重命名為/var/lib/aide/aide.db.gz，以便AIDE能讀取它：

 # mv /var/lib/aide/aide.db.new.gz /var/lib/aide.db.gz 

現(xiàn)在，是時(shí)候來將我們的系統(tǒng)與數(shù)據(jù)庫進(jìn)行第一次校對了。任務(wù)很簡單，只需運(yùn)行：

 # aide 

在沒有選項(xiàng)時(shí)，AIDE假定使用了--check選項(xiàng)。

如果在數(shù)據(jù)庫創(chuàng)建后沒有對系統(tǒng)做過任何修改，AIDE將會以O(shè)K信息來結(jié)束本次校對。

生產(chǎn)環(huán)境中管理AIDE

在構(gòu)建了一個(gè)初始AIDE數(shù)據(jù)庫后，作為不斷進(jìn)行的系統(tǒng)管理活動，你常常需要因?yàn)槟承┖戏ǖ睦碛筛率鼙Ｗo(hù)的服務(wù)器。每次服務(wù)器更新后，你必須重新構(gòu)建AIDE數(shù)據(jù)庫，以更新數(shù)據(jù)庫內(nèi)容。要完成該任務(wù)，請執(zhí)行以下命令：

 # aide --update 

要使用AIDE保護(hù)生產(chǎn)系統(tǒng)，可能最好通過任務(wù)計(jì)劃調(diào)用AIDE來周期性檢查不一致性。例如，要讓AIDE每天運(yùn)行一次，并將結(jié)果發(fā)送到郵箱：

 # crontab -e 

0 0 * * * /usr/sbin/aide --check | /usr/bin/mail -s "AIDE run for $HOSTNAME" your@email.com

測試AIDE檢查文件篡改

下面的測試環(huán)境將演示AIDE是如何來檢查文件的完整性的。

測試環(huán)境 1

讓我們添加一個(gè)新文件（如/etc/fake）。

# cat /dev/null > /etc/fake 

測試環(huán)境 2

讓我們修改文件權(quán)限，然后看看它是否被檢測到。

 # chmod 644 /etc/aide.conf 

測試環(huán)境 3

最后，讓我們修改文件內(nèi)容（如，添加一個(gè)注釋行到/etc/aide.conf）。

echo "#This is a comment" >> /etc/aide.conf 

上面的截圖中，第一欄顯示了文件的屬性，第二欄是AIDE數(shù)據(jù)庫中的值，而第三欄是更新后的值。第三欄中空白部分表示該屬性沒有改動（如本例中的ACL）。

結(jié)尾

如果你曾經(jīng)發(fā)現(xiàn)你自己有很好的理由確信系統(tǒng)被入侵了，但是第一眼又不能確定到底哪些東西被改動了，那么像AIDE這樣一個(gè)基于主機(jī)的入侵檢測系統(tǒng)就會很有幫助了，因?yàn)樗梢詭椭愫芸熳R別出哪些東西被改動過，而不是通過猜測來浪費(fèi)寶貴的時(shí)間。

via: http://xmodulo.com/host-intrusion-detection-system-centos.html

作者：Gabriel Cánepa 譯者：GOLinux 校對：wxy