亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        監(jiān)控Linux文件信息

        2018-03-04 16:37:00
        網(wǎng)絡(luò)安全和信息化 2018年10期
        關(guān)鍵詞:配置文件變動(dòng)命令

        Linux面臨的安全威脅

        黑客入侵往往從管理員不注意的地方下手,例如非法替換系統(tǒng)命令,讓管理員在執(zhí)行看似正常的命令時(shí),其實(shí)運(yùn)行的是黑客設(shè)計(jì)的程序。利用系統(tǒng)的原始完整記錄,就可以發(fā)現(xiàn)操作系統(tǒng)的哪些文件發(fā)生了變化。對于定時(shí)任務(wù),Kernel模塊等對象,也需要經(jīng)常進(jìn)行檢測。

        當(dāng)黑客試圖對系統(tǒng)進(jìn)行滲透時(shí),往往會采用正向或者和反向的方式進(jìn)行。對于前者來說,黑客會利用設(shè)置定時(shí)任務(wù)或者替換可執(zhí)行文件的方式,當(dāng)觸發(fā)的時(shí)候,黑客預(yù)設(shè)的程序就會在系統(tǒng)中開啟后門。對于后者,黑客會先在系統(tǒng)中植入木馬,讓其反向訪問黑客控制的頁面或者主機(jī),來讓黑客獲得入侵接口等。

        對AIDE進(jìn)行配置

        企業(yè)版RedHat內(nèi)置了名為AIDE的軟件,是一款很專業(yè)的檢測程序,其運(yùn)行原理是當(dāng)配置好系統(tǒng)后,將整個(gè)文件系統(tǒng)進(jìn)行初始化并進(jìn)行索引,將每個(gè)文件的哈希值存放到數(shù)據(jù)庫中。在默認(rèn)情況下,AIDE會監(jiān)控所有的可執(zhí)行文件和相關(guān)的配置文件,但是不會監(jiān)控所有文件。管理員懷疑存在安全隱患的話,可以利用AIDE對系統(tǒng)進(jìn)行徹底檢查,來了解其監(jiān)控的系統(tǒng)關(guān)鍵文件(例如可執(zhí)行文件,配置文件等)是否被修改過,而且AIDE記錄的數(shù)據(jù)很難被偽造。以Root賬戶登錄系統(tǒng),執(zhí)行“yum install aide”命令,來安裝該軟件。

        執(zhí) 行“vim /etc/aide.conf”命令,打開AIDE的配置文件??梢钥吹皆谀J(rèn)情況下,數(shù)據(jù)庫存放在“/etc/lib/aide”目錄下。原始數(shù)據(jù)庫文件名稱為“aide.db.gz”,新生成的數(shù)據(jù)庫文件名稱為“aide.db.new.gz”。所謂原版數(shù)據(jù)庫文件,是指AIDE初始化時(shí),生成的文件信息記錄文件。當(dāng)進(jìn)行安全檢查時(shí),必須再次進(jìn)行掃描來創(chuàng)建新的記錄數(shù)據(jù),之后將兩者進(jìn)行比較,來發(fā)現(xiàn)可疑的變動(dòng)信息。為了節(jié)省磁盤空間,AIDE會對數(shù)據(jù)庫進(jìn)行壓縮處理。AIDE 會 對“/boot”、“/bin”、“/sbin”、“/lib”、“/opt”、“/usr”、“/root”等 系 統(tǒng) 目 錄進(jìn)行全面監(jiān)控。用戶也可以將更多的目錄添加進(jìn)來,讓AIDE對其全面監(jiān)控。

        設(shè)置監(jiān)控內(nèi)容

        在默認(rèn)配置中,對于“/etc”目錄只是進(jìn)行權(quán)限監(jiān)控,對其中的文件內(nèi)容不進(jìn)行檢查。即在該目錄下如果部署相應(yīng)的配置文件,那么只有權(quán)限發(fā)生變動(dòng),AIDE才對使用者進(jìn)行報(bào)告。這主要是因?yàn)樵撃夸浵碌奈募儎?dòng)比較頻繁,所以對其全面監(jiān)控作用有限。對于該目錄下特定的配置文件(例如“/etc/xxx.cfg NORMAL”), 因?yàn)閮?nèi)容不會經(jīng)常變動(dòng),可以將其添加進(jìn)來。這樣,如果被修改,管理員就能及時(shí)發(fā)現(xiàn)。對監(jiān)控的對象,后面需要跟隨“NORMAL”參數(shù)。注意,后面不要添加“PERM”參數(shù),該參數(shù)表示只進(jìn)行權(quán)限檢測。

        通過該配置文件,系統(tǒng)的所有關(guān)鍵位置都處于AIDE的監(jiān)控之中。當(dāng)配置好系統(tǒng)后,執(zhí)行“aide --init”命令,對全盤進(jìn)行初始化,這需要花費(fèi)一段時(shí)間。完畢后執(zhí) 行“l(fā)l /var/lib/aide”命令,顯示新建立的“aide.db.new.gz”數(shù)據(jù)庫文件。進(jìn)入該目錄,執(zhí)行“mv aide.db.new.gz aide.db.gz”,進(jìn)行更名操作,作為原始的數(shù)據(jù)庫文件。

        當(dāng)系統(tǒng)運(yùn)行一段時(shí)間后,管理員希望檢查系統(tǒng)是否存在安全問題的話,可以執(zhí)行“aide”命令,AIDE可以對系統(tǒng)進(jìn)行掃描,創(chuàng)建新的數(shù)據(jù)庫文件,之后和原始的數(shù)據(jù)庫進(jìn)行比對,發(fā)現(xiàn)監(jiān)控的系統(tǒng)關(guān)鍵點(diǎn)以及用戶自定義監(jiān)控點(diǎn)的變化情況。

        檢測Linux文件變動(dòng)情況

        如果發(fā)生變動(dòng),AIDE都會完整地顯示出來,例如,新增的文件、內(nèi)容變動(dòng)的文件、刪除的文件等。在報(bào)告信息中的“Detailed information about changes” 列 表 中,會針對每一個(gè)變化的文件,列出詳細(xì)的變化信息,例如文件尺寸、創(chuàng)建時(shí)間、修改時(shí)間、哈希值(包括MD5,RMD160,SHA256)等。

        對于已經(jīng)被入侵的系統(tǒng),不要直接在該環(huán)境中進(jìn)行安全檢查,要進(jìn)入一個(gè)干凈的環(huán)境(例如救援模式,將本機(jī)硬盤掛載到正常的系統(tǒng)中等),即使進(jìn)行救援模式等環(huán)境,一定不要運(yùn)行其中的任何文件。之后,利用AIDE的原始數(shù)據(jù)庫,就可以進(jìn)行安全檢查了。檢查出問題后,最好的解決方法是重裝系統(tǒng),而不要嘗試進(jìn)行修復(fù)。

        猜你喜歡
        配置文件變動(dòng)命令
        提示用戶配置文件錯(cuò)誤 這樣解決
        只聽主人的命令
        北上資金持倉、持股變動(dòng)
        北向資金持倉、持股變動(dòng)
        南向資金持倉、持股變動(dòng)
        搭建簡單的Kubernetes集群
        互不干涉混用Chromium Edge
        忘記ESXi主機(jī)root密碼怎么辦
        移防命令下達(dá)后
        變動(dòng)的是心
        成人影片麻豆国产影片免费观看| 色优网久久国产精品| 成人激情视频一区二区三区| 亚洲国产性夜夜综合另类| 又粗又黄又猛又爽大片免费| 女人与牲口性恔配视频免费| 久久久久亚洲AV无码去区首| 成人大片免费在线观看视频| 狼狼综合久久久久综合网| 男人和女人高潮免费网站| 国产成人综合亚洲av| 亚洲中文字幕精品久久a| 国产精品美女久久久久av福利| 7777精品久久久大香线蕉| 日本一区二区不卡超清在线播放| 护士人妻hd中文字幕| 熟女少妇精品一区二区| 在线看片无码永久免费aⅴ| 亚洲国产日韩av一区二区| 日本一区二区三区视频免费观看| 老少配老妇老熟女中文普通话| 中文字幕在线日韩| 中文字幕亚洲视频三区| 欧美怡春院一区二区三区| 久久人人妻人人做人人爽| 亚洲国产成人资源在线桃色| 久久一区二区av毛片国产| 午夜理论片yy6080私人影院| 无码国产亚洲日韩国精品视频一区二区三区| 国产综合一区二区三区av| 精品国产一区二区三区18p| 在线人成免费视频69国产| 午夜视频网址| 亚洲中文字幕在线第六区| 欧美多人片高潮野外做片黑人| 亚洲 都市 校园 激情 另类| 日本最新一区二区三区视频| 亚洲国产精品高清一区| 一二三四视频社区在线| 亚洲xx视频| 扒开美女内裤舔出白水|