支持控制台(Console)开发人员开始试用联系人

9.12. 使用 AIDE 检查完整性

高级入侵检测环境(AIDE)是一个在系统上创建文件数据库的工具,然后使用该数据库确保文件的完整性,并检测系统入侵。

9.12.1. 安装 AIDE

要使用 AIDE 开始文件完整性检查,您必须安装相应的软件包,并启动 AIDE 数据库。

先决条件

  • AppStream存储库已启用。

流程

  1. 安装 aide 软件包: 

    # yum install aide

  2. 生成一个初始数据库: 

    # aide --init
Start timestamp: 2024-07-08 10:39:23 -0400 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	55856

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
…
  SHA512   : mZaWoGzL2m6ZcyyZ/AXTIowliEXWSZqx
             IFYImY4f7id4u+Bq8WeuSE2jasZur/A4
             FPBFaBkoCFHdoE/FW/V94Q==
  3. 可选:在默认配置中,aide --init 命令只检查 /etc/aide.conf 文件中定义的一组目录和文件。要在 AIDE 数据库中包含其他目录或文件,并更改其监视的参数,请相应地编辑 /etc/aide.conf

  4. 要开始使用数据库,请从初始数据库文件名中删除 .new 子字符串: 

    # mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
  5. 可选:要更改 AIDE 数据库的位置,请编辑 /etc/aide.conf 文件,并修改 DBDIR 值。要获得额外的安全性,请将数据库、配置和 /usr/sbin/aide 二进制文件存储在安全的位置,如只读介质。

9.12.2. 使用 AIDE 执行完整性检查

您可以使用 crond 服务来调度使用 AIDE 的常规文件完整性检查。

先决条件

  • AIDE 已正确安装,其数据库已初始化。请参阅 安装 AIDE

流程

  1. 启动手动检查: 

    # aide --check
Start timestamp: 2024-07-08 10:43:46 -0400 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	55856
  Added entries:		0
  Removed entries:		0
  Changed entries:		1

---------------------------------------------------
Changed entries:
---------------------------------------------------

f   ...      ..S : /root/.viminfo

---------------------------------------------------
Detailed information about changes:
---------------------------------------------------

File: /root/.viminfo
  SELinux  : system_u:object_r:admin_home_t:s | unconfined_u:object_r:admin_home
             0                                | _t:s0
…

  2. 至少,将系统配置为每周运行 AIDE。最好每天运行 AIDE。例如,要使用 cron 命令计划在每日 04:05 a.m. 执行 AIDE,请在 /etc/crontab 文件中添加以下行: 

     05 4 * * * root /usr/sbin/aide --check

其它资源

  • 您系统上的 cron (8) 手册页

9.12.3. 更新 AIDE 数据库

验证系统的更改后,如软件包更新或配置文件调整,也会更新您的基准 AIDE 数据库。

先决条件

  • AIDE 已正确安装,其数据库已初始化。请参阅 安装 AIDE

流程

  1. 更新您的基准 AIDE 数据库: 

    # aide --update

    aide --update 命令创建 /var/lib/aide/aide.db.new.gz 数据库文件。

  2. 若要开始使用更新的数据库进行完整性检查,请从文件名中删除 .new 子字符串。

9.12.4. file-integrity 工具:AIDE 和 IMA

Red Hat Enterprise Linux 提供多个用于检查和维护系统上文件和目录完整性的工具。下表可帮助您决定哪个工具更适合您的场景。

表 9.1. AIDE 和 IMA 之间的比较
问题高级入侵检测环境(AIDE)完整性测量架构 (IMA)

什么

AIDE 是一个用于创建系统上文件和目录数据库的实用程序。此数据库用于检查文件完整性并检测入侵检测。

与之前存储的扩展属性相比,IMA 会检测文件是否通过检查文件测量(哈希值)来更改文件。

如何

AIDE 使用规则来比较文件和目录的完整性状态。

IMA 使用文件哈希值来检测入侵。

为什么

检测 - AIDE 通过验证规则检测文件是否被修改。

检测和强制 - IMA 通过替换文件的扩展属性来检测和防止攻击。

使用

在修改文件或目录时,AIDE 会检测威胁。

当有人试图更改整个文件时,IMA 会检测到威胁。

扩展

AIDE 检查本地系统上文件和目录的完整性。

IMA 确保本地和远程系统的安全性。

9.12.5. 其它资源

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.