PUB:20141008 How to configure a host intrusion detection system on CentOS

@GOLinux
This commit is contained in:
wxy 2014-11-17 22:22:42 +08:00
parent c35926c8f2
commit f560b8452a

View File

@ -1,18 +1,18 @@
在CentOS上配置主机入侵检测系统 在CentOS上配置基于主机入侵检测系统IDS
================================================================================ ================================================================================
所有系统管理员想要在他们生产服务器上部署的第一个安全手段之一,就是检测文件篡改的机制——不仅仅是文件内容,而且也包括它们的属性。 所有系统管理员想要在他们生产服务器上首先要部署的安全手段之一,就是检测文件篡改的机制——不仅仅是文件内容,而且也包括它们的属性。
[AIDE][1] “高级入侵检测环境”的简称是一个开源的基于主机的入侵检测系统。AIDE通过检查大量文件属性的不一致性来检查系统二进制文件和基本配置文件的完整性这些文件属性包括权限、文件类型、索引节点、链接数、链接名、用户、组、文件大小、块计数、修改时间、添加时间、创建时间、acl、SELinux安全上下文、xattrs以及md5/sha校验和在内 [AIDE][1] “高级入侵检测环境”的简称是一个开源的基于主机的入侵检测系统。AIDE通过检查大量文件属性的不一致性来检查系统二进制文件和基本配置文件的完整性这些文件属性包括权限、文件类型、索引节点、链接数、链接名、用户、组、文件大小、块计数、修改时间、添加时间、创建时间、acl、SELinux安全上下文、xattrs以及md5/sha校验值在内的各种特征
AIDE通过扫描一台未被篡改的Linux服务器的文件系统来构建文件属性数据库以后将服务器文件属性与数据库中的进行校对然后在服务器运行时对修改过的索引的文件发出警告。处于这个原因AIDE必须在系统更新后或其配置文件进行合法修改后重新对受保护的文件做索引。 AIDE通过扫描一台未被篡改的Linux服务器的文件系统来构建文件属性数据库以后将服务器文件属性与数据库中的进行校对然后在服务器运行时对被修改的索引了的文件发出警告。出于这个原因AIDE必须在系统更新后或其配置文件进行合法修改后重新对受保护的文件做索引。
对于某些客户,他们可能会根据他们的安全策略在他们的服务器上强制安装某种入侵检测系统。但是,不管客户是否要求,系统管理员都部署一个入侵检测系统,这通常是一个很好的做法。 对于某些客户,他们可能会根据他们的安全策略在他们的服务器上强制安装某种入侵检测系统。但是,不管客户是否要求,系统管理员都应该部署一个入侵检测系统,这通常是一个很好的做法。
### 安装AIDE到CentOS或RHEL ### ### 在 CentOS或RHEL 上安装AIDE ###
AIDE的初始安装同时是首次运行最好是在系统刚安装完后并且没有任何服务暴露在互联网,甚至是局域网中。在这个早期阶段我们可以将来自外部的一切闯入和破坏风险降到最低限度。事实上这也是确保系统在AIDE构建其初始数据库时保持干净的唯一途径。 AIDE的初始安装同时是首次运行最好是在系统刚安装完后并且没有任何服务暴露在互联网甚至局域网时。在这个早期阶段我们可以将来自外部的一切闯入和破坏风险降到最低限度。事实上这也是确保系统在AIDE构建其初始数据库时保持干净的唯一途径。LCTT 译注:当然,如果你的安装源本身就存在安全隐患,则无法建立可信的数据记录)
出于上面的原因,在安装完AIDE后我们可以执行下面的命令 出于上面的原因,在安装完系统后我们可以执行下面的命令安装AIDE
# yum install aide # yum install aide
@ -20,7 +20,7 @@ AIDE的初始安装同时是首次运行最好是在系统刚安装完后
### 配置AIDE ### ### 配置AIDE ###
默认配置文件是/etc/aide.conf该文件介绍了几个示例保护规则如FIPSRNORMALDIRDATAONLY各个规则后面跟着一个等号以及要检查的文件属性列表,或者某些预定义的规则(由+分隔)。你也可以使用此种格式自定义规则。 默认配置文件是/etc/aide.conf该文件介绍了几个示例保护规则如FIPSRNORMALDIRDATAONLY各个规则后面跟着一个等号以及要检查的文件属性列表或者某些预定义的规则由+分隔)。你也可以使用此种格式自定义规则。
![](https://farm3.staticflickr.com/2947/15446746115_7d0a291b0a_o.png) ![](https://farm3.staticflickr.com/2947/15446746115_7d0a291b0a_o.png)
@ -35,11 +35,11 @@ AIDE的初始安装同时是首次运行最好是在系统刚安装完后
条目之前的感叹号告诉AIDE忽略子目录或目录中的文件对于这些可以另外定义规则。 条目之前的感叹号告诉AIDE忽略子目录或目录中的文件对于这些可以另外定义规则。
在上面的例子中PERMS是用于/etc机器子目录和文件的默认规则。然而没有规则将用于/etc中的备份文件如/etc/.*~),也没有规则用于/etc/mtab文件。对于/etc中的一些选择性的子目录或文件NORMAL规则会被应用覆盖默认规则PERMS。 在上面的例子中PERMS是用于/etc机器子目录和文件的默认规则。然而对于/etc中的备份文件如/etc/.*~)则不应用任何规则,也没有规则用于/etc/mtab文件。对于/etc中的其它一些选定的子目录或文件使用NORMAL规则替代默认规则PERMS。
定义并应用正确的规则到系统中正确的位置是使用AIDE最难的一部分但作好的判断是一个良好的开始。作为首要的一条规则,不要检查不必要的属性。例如,检查/var/log或/var/spool里头的文件的修改时间将导致大量误报因为许多的应用程序和守护进程经常会写入内容到该位置而这些内容都没有问题。此外检查多个校验和可能加强安全性但随之而来的是AIDE的运行时间的增加。 定义并应用正确的规则到系统中正确的位置是使用AIDE最难的一部分但作一个好的判断是一个良好的开始。作为首要的一条规则,不要检查不必要的属性。例如,检查/var/log或/var/spool里头的文件的修改时间将导致大量误报因为许多的应用程序和守护进程经常会写入内容到该位置而这些内容都没有问题。此外检查多个校验值可能会加强安全性但随之而来的是AIDE的运行时间的增加。
择将检查结果发送到你邮箱如果你使用MAILTO变量指定电子邮件地址。将下面这一行放到/etc/aide.conf中的任何位置即可。 可选的如果你使用MAILTO变量指定电子邮件地址,就可以将检查结果发送到你的邮箱。将下面这一行放到/etc/aide.conf中的任何位置即可。
MAILTO=root@localhost MAILTO=root@localhost
@ -51,7 +51,7 @@ AIDE的初始安装同时是首次运行最好是在系统刚安装完后
![](https://farm3.staticflickr.com/2942/15446399402_198472e983_o.png) ![](https://farm3.staticflickr.com/2942/15446399402_198472e983_o.png)
根据/etc/aide.conf生成的/var/lib/aide/aide.db.new.gz文件需要被重命名为/var/lib/aide/aide.db.gz,以便AIDE能读取它 根据/etc/aide.conf生成的/var/lib/aide/aide.db.new.gz文件需要被重命名为/var/lib/aide/aide.db.gz以便AIDE能读取它
# mv /var/lib/aide/aide.db.new.gz /var/lib/aide.db.gz # mv /var/lib/aide/aide.db.new.gz /var/lib/aide.db.gz
@ -67,7 +67,7 @@ AIDE的初始安装同时是首次运行最好是在系统刚安装完后
### 生产环境中管理AIDE ### ### 生产环境中管理AIDE ###
在构建了一个初始AIDE数据库后作为不断推进的系统管理活动,你常常需要处于某些合法的理由更新受保护的服务器。每次服务器更新后你必须重新构建AIDE数据库以更新数据库内容。要完成该任务请执行以下命令 在构建了一个初始AIDE数据库后作为不断进行的系统管理活动,你常常需要因为某些合法的理由更新受保护的服务器。每次服务器更新后你必须重新构建AIDE数据库以更新数据库内容。要完成该任务请执行以下命令
# aide --update # aide --update
@ -109,7 +109,7 @@ AIDE的初始安装同时是首次运行最好是在系统刚安装完后
### 结尾 ### ### 结尾 ###
如果你曾经发现你自己有很好的理由信系统被入侵了但是第一眼又不能确定到底哪些东西被改动了那么像AIDE这样一个基于主机的入侵检测系统就会很有帮助了因为它可以帮助你很快识别出哪些东西被改动过而不是通过猜测来浪费宝贵的时间。 如果你曾经发现你自己有很好的理由信系统被入侵了但是第一眼又不能确定到底哪些东西被改动了那么像AIDE这样一个基于主机的入侵检测系统就会很有帮助了因为它可以帮助你很快识别出哪些东西被改动过而不是通过猜测来浪费宝贵的时间。
-------------------------------------------------------------------------------- --------------------------------------------------------------------------------
@ -117,7 +117,7 @@ via: http://xmodulo.com/host-intrusion-detection-system-centos.html
作者:[Gabriel Cánepa][a] 作者:[Gabriel Cánepa][a]
译者:[GOLinux](https://github.com/GOLinux) 译者:[GOLinux](https://github.com/GOLinux)
校对:[校对者ID](https://github.com/校对者ID) 校对:[wxy](https://github.com/wxy)
本文由 [LCTT](https://github.com/LCTT/TranslateProject) 原创翻译,[Linux中国](http://linux.cn/) 荣誉推出 本文由 [LCTT](https://github.com/LCTT/TranslateProject) 原创翻译,[Linux中国](http://linux.cn/) 荣誉推出