6.4. 使用 AIDE 进行入侵检测

AIDE （高级入侵检测环境）是一个文件和目录完整性检查程序。它用于检测未经授权的文件修改或更改的事件。例如，如果更改了系统密码文件，AIDE 可以提醒您。

AIDE 通过分析系统文件，然后编译文件哈希完整性数据库来实现。然后，数据库充当一个比较点，以验证文件和目录的完整性并检测更改。

director 包括 AIDE 服务，允许您将条目添加到 AIDE 配置中，然后供 AIDE 服务用于创建完整性数据库。例如：

  resource_registry:
  OS::TripleO::Services::Aide: ../puppet/services/aide.yaml

  parameter_defaults:
    AideRules:
      'TripleORules':
        content: 'TripleORules = p+sha256'
        order: 1
      'etc':
        content: '/etc/ TripleORules'
        order: 2
      'boot':
        content: '/boot/ TripleORules'
        order: 3
      'sbin':
        content: '/sbin/ TripleORules'
        order: 4
      'var':
        content: '/var/ TripleORules'
        order: 5
      'not var/log':
        content: '!/var/log.*'
        order: 6
      'not var/spool':
        content: '!/var/spool.*'
        order: 7
      'not nova instances':
        content: '!/var/lib/nova/instances.*'
        order: 8

  resource_registry:
  OS::TripleO::Services::Aide: ../puppet/services/aide.yaml

  parameter_defaults:
    AideRules:
      'TripleORules':
        content: 'TripleORules = p+sha256'
        order: 1
      'etc':
        content: '/etc/ TripleORules'
        order: 2
      'boot':
        content: '/boot/ TripleORules'
        order: 3
      'sbin':
        content: '/sbin/ TripleORules'
        order: 4
      'var':
        content: '/var/ TripleORules'
        order: 5
      'not var/log':
        content: '!/var/log.*'
        order: 6
      'not var/spool':
        content: '!/var/spool.*'
        order: 7
      'not nova instances':
        content: '!/var/lib/nova/instances.*'
        order: 8

Copy to Clipboard

Toggle word wrap

注意

上面的例子不是主动维护或基准测试的，因此您应该选择适合您的要求的 AIDE 值。

声明了一个名为 TripleORules 的别名，以避免每次都重复出现相同的属性。
别名接收 p+sha256 的属性。在 AIDE 术语中，这显示为以下指令：使用 sha256 完整性 checksum 来监控所有文件权限。

有关 AIDE 配置文件可用属性的完整列表，请参见的 AIDE MAN 页面。https://aide.github.io/

要将此更改应用到您的部署，请将设置保存为名为 aide.yaml 的文件，然后将它传递给 overcloud deploy 命令，如下所示：& lt;full environment > 表示您必须仍包含所有原始部署参数。例如：

openstack overcloud deploy --templates -e <full environment> /usr/share/openstack-tripleo-heat-templates/environments/aide.yaml

openstack overcloud deploy --templates -e <full environment> /usr/share/openstack-tripleo-heat-templates/environments/aide.yaml

Copy to Clipboard

Toggle word wrap

6.4.1. 使用复杂的 AIDE 规则
复制链接

可使用上述格式创建复杂的规则。例如：

    MyAlias = p+i+n+u+g+s+b+m+c+sha512

    MyAlias = p+i+n+u+g+s+b+m+c+sha512

Copy to Clipboard

Toggle word wrap

以上将转换为以下指令：监控权限、索引节点、链接数目、用户、组、大小、块计数、mtime、ctime、ctime、ctime。

请注意，别名应始终具有 1 的顺序位置，这意味着它位于 AIDE 规则的顶部，并递归地应用于以下所有值。

别名后方是要监控的目录。请注意，可以使用正则表达式。例如，我们为 var 目录设置了监控，但使用 ! 和 '!/var/spool. *' 和 '!/var/spool.*' 的 a not 子句覆盖。

返回顶部

6.4. 使用 AIDE 进行入侵检测

6.4.1. 使用复杂的 AIDE 规则
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

6.4. 使用 AIDE 进行入侵检测

6.4.1. 使用复杂的 AIDE 规则复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

6.4.1. 使用复杂的 AIDE 规则
复制链接