亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        監(jiān)控Linux文件信息

        2018-03-04 16:37:00
        網(wǎng)絡(luò)安全和信息化 2018年10期
        關(guān)鍵詞:配置文件變動(dòng)命令

        Linux面臨的安全威脅

        黑客入侵往往從管理員不注意的地方下手,例如非法替換系統(tǒng)命令,讓管理員在執(zhí)行看似正常的命令時(shí),其實(shí)運(yùn)行的是黑客設(shè)計(jì)的程序。利用系統(tǒng)的原始完整記錄,就可以發(fā)現(xiàn)操作系統(tǒng)的哪些文件發(fā)生了變化。對于定時(shí)任務(wù),Kernel模塊等對象,也需要經(jīng)常進(jìn)行檢測。

        當(dāng)黑客試圖對系統(tǒng)進(jìn)行滲透時(shí),往往會采用正向或者和反向的方式進(jìn)行。對于前者來說,黑客會利用設(shè)置定時(shí)任務(wù)或者替換可執(zhí)行文件的方式,當(dāng)觸發(fā)的時(shí)候,黑客預(yù)設(shè)的程序就會在系統(tǒng)中開啟后門。對于后者,黑客會先在系統(tǒng)中植入木馬,讓其反向訪問黑客控制的頁面或者主機(jī),來讓黑客獲得入侵接口等。

        對AIDE進(jìn)行配置

        企業(yè)版RedHat內(nèi)置了名為AIDE的軟件,是一款很專業(yè)的檢測程序,其運(yùn)行原理是當(dāng)配置好系統(tǒng)后,將整個(gè)文件系統(tǒng)進(jìn)行初始化并進(jìn)行索引,將每個(gè)文件的哈希值存放到數(shù)據(jù)庫中。在默認(rèn)情況下,AIDE會監(jiān)控所有的可執(zhí)行文件和相關(guān)的配置文件,但是不會監(jiān)控所有文件。管理員懷疑存在安全隱患的話,可以利用AIDE對系統(tǒng)進(jìn)行徹底檢查,來了解其監(jiān)控的系統(tǒng)關(guān)鍵文件(例如可執(zhí)行文件,配置文件等)是否被修改過,而且AIDE記錄的數(shù)據(jù)很難被偽造。以Root賬戶登錄系統(tǒng),執(zhí)行“yum install aide”命令,來安裝該軟件。

        執(zhí) 行“vim /etc/aide.conf”命令,打開AIDE的配置文件??梢钥吹皆谀J(rèn)情況下,數(shù)據(jù)庫存放在“/etc/lib/aide”目錄下。原始數(shù)據(jù)庫文件名稱為“aide.db.gz”,新生成的數(shù)據(jù)庫文件名稱為“aide.db.new.gz”。所謂原版數(shù)據(jù)庫文件,是指AIDE初始化時(shí),生成的文件信息記錄文件。當(dāng)進(jìn)行安全檢查時(shí),必須再次進(jìn)行掃描來創(chuàng)建新的記錄數(shù)據(jù),之后將兩者進(jìn)行比較,來發(fā)現(xiàn)可疑的變動(dòng)信息。為了節(jié)省磁盤空間,AIDE會對數(shù)據(jù)庫進(jìn)行壓縮處理。AIDE 會 對“/boot”、“/bin”、“/sbin”、“/lib”、“/opt”、“/usr”、“/root”等 系 統(tǒng) 目 錄進(jìn)行全面監(jiān)控。用戶也可以將更多的目錄添加進(jìn)來,讓AIDE對其全面監(jiān)控。

        設(shè)置監(jiān)控內(nèi)容

        在默認(rèn)配置中,對于“/etc”目錄只是進(jìn)行權(quán)限監(jiān)控,對其中的文件內(nèi)容不進(jìn)行檢查。即在該目錄下如果部署相應(yīng)的配置文件,那么只有權(quán)限發(fā)生變動(dòng),AIDE才對使用者進(jìn)行報(bào)告。這主要是因?yàn)樵撃夸浵碌奈募儎?dòng)比較頻繁,所以對其全面監(jiān)控作用有限。對于該目錄下特定的配置文件(例如“/etc/xxx.cfg NORMAL”), 因?yàn)閮?nèi)容不會經(jīng)常變動(dòng),可以將其添加進(jìn)來。這樣,如果被修改,管理員就能及時(shí)發(fā)現(xiàn)。對監(jiān)控的對象,后面需要跟隨“NORMAL”參數(shù)。注意,后面不要添加“PERM”參數(shù),該參數(shù)表示只進(jìn)行權(quán)限檢測。

        通過該配置文件,系統(tǒng)的所有關(guān)鍵位置都處于AIDE的監(jiān)控之中。當(dāng)配置好系統(tǒng)后,執(zhí)行“aide --init”命令,對全盤進(jìn)行初始化,這需要花費(fèi)一段時(shí)間。完畢后執(zhí) 行“l(fā)l /var/lib/aide”命令,顯示新建立的“aide.db.new.gz”數(shù)據(jù)庫文件。進(jìn)入該目錄,執(zhí)行“mv aide.db.new.gz aide.db.gz”,進(jìn)行更名操作,作為原始的數(shù)據(jù)庫文件。

        當(dāng)系統(tǒng)運(yùn)行一段時(shí)間后,管理員希望檢查系統(tǒng)是否存在安全問題的話,可以執(zhí)行“aide”命令,AIDE可以對系統(tǒng)進(jìn)行掃描,創(chuàng)建新的數(shù)據(jù)庫文件,之后和原始的數(shù)據(jù)庫進(jìn)行比對,發(fā)現(xiàn)監(jiān)控的系統(tǒng)關(guān)鍵點(diǎn)以及用戶自定義監(jiān)控點(diǎn)的變化情況。

        檢測Linux文件變動(dòng)情況

        如果發(fā)生變動(dòng),AIDE都會完整地顯示出來,例如,新增的文件、內(nèi)容變動(dòng)的文件、刪除的文件等。在報(bào)告信息中的“Detailed information about changes” 列 表 中,會針對每一個(gè)變化的文件,列出詳細(xì)的變化信息,例如文件尺寸、創(chuàng)建時(shí)間、修改時(shí)間、哈希值(包括MD5,RMD160,SHA256)等。

        對于已經(jīng)被入侵的系統(tǒng),不要直接在該環(huán)境中進(jìn)行安全檢查,要進(jìn)入一個(gè)干凈的環(huán)境(例如救援模式,將本機(jī)硬盤掛載到正常的系統(tǒng)中等),即使進(jìn)行救援模式等環(huán)境,一定不要運(yùn)行其中的任何文件。之后,利用AIDE的原始數(shù)據(jù)庫,就可以進(jìn)行安全檢查了。檢查出問題后,最好的解決方法是重裝系統(tǒng),而不要嘗試進(jìn)行修復(fù)。

        猜你喜歡
        配置文件變動(dòng)命令
        提示用戶配置文件錯(cuò)誤 這樣解決
        只聽主人的命令
        北上資金持倉、持股變動(dòng)
        北向資金持倉、持股變動(dòng)
        南向資金持倉、持股變動(dòng)
        搭建簡單的Kubernetes集群
        互不干涉混用Chromium Edge
        忘記ESXi主機(jī)root密碼怎么辦
        移防命令下達(dá)后
        變動(dòng)的是心
        日本精品免费看99久久| 亚洲午夜无码久久yy6080| 日韩亚洲av无码一区二区不卡 | 甲状腺囊实性结节三级| 日本97色视频日本熟妇视频| 国产性自爱拍偷在在线播放| 男男受被攻做哭娇喘声视频| 国产系列丝袜熟女精品视频| 中文字幕亚洲视频三区| 欧美怡春院一区二区三区| 国产福利一区二区三区在线观看| 亚洲国产成人手机在线观看| 国产自拍在线视频观看| 人人澡人人妻人人爽人人蜜桃麻豆| a级毛片无码免费真人| 性一交一乱一伦一视频一二三区| 日韩精品午夜视频在线| 最新欧美精品一区二区三区| 依依成人精品视频在线观看| 国产成社区在线视频观看| 亚洲婷婷久久播66性av| 久久久久久久极品内射| 日本动态120秒免费| 精品亚洲不卡一区二区| 国产女主播一区二区三区| 亚洲av无码久久精品蜜桃| 色综合另类小说图片区| 少妇特殊按摩高潮对白| 国产免费久久精品99久久| 一本一本久久aa综合精品| 国产白丝在线| 国产成人自拍视频视频| 亚洲av成人无码久久精品老人| 色婷婷综合中文久久一本 | 亚洲av电影天堂男人的天堂| a午夜国产一级黄片| 国产天堂av在线播放资源| 无人区一码二码三码四码区| 欧美日韩亚洲国产千人斩| 国产一区二区三区av观看| 国产色系视频在线观看|