Solaris服务器配置高级入侵检测工具AIDE

     AIDE即Advanced Intrusion Detection Environment，直译为高级入侵检测环境，AIDE，是一个文件完整性检测工具，AIDE 能够构造一个指定文件的数据库，它使用aide.conf作为其配置文件。AIDE生成的数据库能够保存文件的各种属性，包括：权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文件大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小以及连接数。AIDE 还能够使用下列算法：sha1、md5、rmd160、tiger，以密文形式建立每个文件的校验码或散列。

　　一旦一台计算机系统被攻击, 所有的信息都将暴露在攻击者的视野中.如果攻击者能很好的隐藏痕迹, 那么入侵的事实是一下很难被发现的, 随着时间的推移攻击者将会发现越来越多的有用信息。管理员在系统安装完毕，连接到网络上之前，可以通过该程序建立新系统的AIDE 数据库。这个AIDE 数据库是系统的一个快照和以后系统升级的准绳。数据库应该至少包含这些信息：关键的系统二进制可执行程序、动态连接库、头文件以及其它总是保持不变的文件。(当然也可以用一些变通的策略，例如/dev 下很多终端设备只是permisson 变动，所以只要检查时去掉权限检查，就不会被报警淹没。)一旦发现系统被侵入，系统管理员会使用ls、lsof、ps、netstat、last 以及who等系统工具对系统进行检查，但是所有这些系统工具都可能被rootkit 程序代替了。可以想象被修改的ls 程序、ps 也不会显示任何入侵进程的信息，甚至本身就是一个肩负backdoor 任务的程序。即使系统管理员恐怕永远也无法通过简单的文件属性来获知它们是否被修改过了，因为文件日期、大小等信息是非常容易改变的，如利用touch。系统管理员需要安装入侵检测工具才能更好的提高信息的安全性.AIDE, 高级入侵检测环境, 是一个文件完整性检测工具, 一种类型的入侵检测程序. 使用AIDE, 系统中的重要文件和文件相关的属性如权限, inode号, 用户, 用户组和链接数, 也包括创建每一个文件的加密校验都会被创建到一个数据库中。

　　二、AIDE的工作流程

　　

　　图1 AIDE的工作流程

　　AIDE的工作流程包括如下步骤：

　　(1)设定aide.conf

　　(2)依据aide.conf建立数据库文件

　　(3)执行文件审核确认完整性，文件系统是否有发生异常

　　(4)回报异常

　　(5)检查异常是否属于正常

　　(6) 重设aide.conf，更新数据库文件或者采取安全的补救措施。 

[1] [2] [3] [4] [5] 下一页