监控Linux文件信息

2018-03-04 16:37
网络安全和信息化 2018年10期
关键词:配置文件变动命令

Linux面临的安全威胁

黑客入侵往往从管理员不注意的地方下手,例如非法替换系统命令,让管理员在执行看似正常的命令时,其实运行的是黑客设计的程序。利用系统的原始完整记录,就可以发现操作系统的哪些文件发生了变化。对于定时任务,Kernel模块等对象,也需要经常进行检测。

当黑客试图对系统进行渗透时,往往会采用正向或者和反向的方式进行。对于前者来说,黑客会利用设置定时任务或者替换可执行文件的方式,当触发的时候,黑客预设的程序就会在系统中开启后门。对于后者,黑客会先在系统中植入木马,让其反向访问黑客控制的页面或者主机,来让黑客获得入侵接口等。

对AIDE进行配置

企业版RedHat内置了名为AIDE的软件,是一款很专业的检测程序,其运行原理是当配置好系统后,将整个文件系统进行初始化并进行索引,将每个文件的哈希值存放到数据库中。在默认情况下,AIDE会监控所有的可执行文件和相关的配置文件,但是不会监控所有文件。管理员怀疑存在安全隐患的话,可以利用AIDE对系统进行彻底检查,来了解其监控的系统关键文件(例如可执行文件,配置文件等)是否被修改过,而且AIDE记录的数据很难被伪造。以Root账户登录系统,执行“yum install aide”命令,来安装该软件。

执 行“vim /etc/aide.conf”命令,打开AIDE的配置文件。可以看到在默认情况下,数据库存放在“/etc/lib/aide”目录下。原始数据库文件名称为“aide.db.gz”,新生成的数据库文件名称为“aide.db.new.gz”。所谓原版数据库文件,是指AIDE初始化时,生成的文件信息记录文件。当进行安全检查时,必须再次进行扫描来创建新的记录数据,之后将两者进行比较,来发现可疑的变动信息。为了节省磁盘空间,AIDE会对数据库进行压缩处理。AIDE 会 对“/boot”、“/bin”、“/sbin”、“/lib”、“/opt”、“/usr”、“/root”等 系 统 目 录进行全面监控。用户也可以将更多的目录添加进来,让AIDE对其全面监控。

设置监控内容

在默认配置中,对于“/etc”目录只是进行权限监控,对其中的文件内容不进行检查。即在该目录下如果部署相应的配置文件,那么只有权限发生变动,AIDE才对使用者进行报告。这主要是因为该目录下的文件变动比较频繁,所以对其全面监控作用有限。对于该目录下特定的配置文件(例如“/etc/xxx.cfg NORMAL”), 因为内容不会经常变动,可以将其添加进来。这样,如果被修改,管理员就能及时发现。对监控的对象,后面需要跟随“NORMAL”参数。注意,后面不要添加“PERM”参数,该参数表示只进行权限检测。

通过该配置文件,系统的所有关键位置都处于AIDE的监控之中。当配置好系统后,执行“aide --init”命令,对全盘进行初始化,这需要花费一段时间。完毕后执 行“ll /var/lib/aide”命令,显示新建立的“aide.db.new.gz”数据库文件。进入该目录,执行“mv aide.db.new.gz aide.db.gz”,进行更名操作,作为原始的数据库文件。

当系统运行一段时间后,管理员希望检查系统是否存在安全问题的话,可以执行“aide”命令,AIDE可以对系统进行扫描,创建新的数据库文件,之后和原始的数据库进行比对,发现监控的系统关键点以及用户自定义监控点的变化情况。

检测Linux文件变动情况

如果发生变动,AIDE都会完整地显示出来,例如,新增的文件、内容变动的文件、删除的文件等。在报告信息中的“Detailed information about changes” 列 表 中,会针对每一个变化的文件,列出详细的变化信息,例如文件尺寸、创建时间、修改时间、哈希值(包括MD5,RMD160,SHA256)等。

对于已经被入侵的系统,不要直接在该环境中进行安全检查,要进入一个干净的环境(例如救援模式,将本机硬盘挂载到正常的系统中等),即使进行救援模式等环境,一定不要运行其中的任何文件。之后,利用AIDE的原始数据库,就可以进行安全检查了。检查出问题后,最好的解决方法是重装系统,而不要尝试进行修复。

猜你喜欢
配置文件变动命令
只听主人的命令
从Windows 10中删除所有网络配置文件
北上资金持仓、持股变动
北向资金持仓、持股变动
南向资金持仓、持股变动
互不干涉混用Chromium Edge
基于Zookeeper的配置管理中心设计与实现
忘记ESXi主机root密码怎么办
移防命令下达后
变动的是心