1. aide(AUR) 1.1 Source & Homepage 1.2 About AIDE 1.3 Features 特征 2. Use AIDE(aur) on Arch 3. 几种主机/文件完整性监视程序的比较(2006年) 3.1 对比表 3.2 对比项目说明 4. See also
1. aide(AUR)
1.1 Source & Homepage
https://github.com/aide/aidehttps://aide.github.io/
IRC #aide on irc.oftc.net
1.2 About AIDE
AIDE (高级入侵检测环境, [eyd]) 是文件和目录完整性检查器。AIDE (Advanced Intrusion Detection Environment, [eyd]) is a file and directory integrity checker.
它根据从配置文件中找到的正则表达式规则创建数据库。初始化该数据库后,就可以用来验证文件的完整性。它具有几种消息摘要算法(请参阅下文),用于检查文件的完整性。还可以检查所有通常的文件属性是否存在不一致。它可以读取旧版本或更新版本的数据库。有关更多信息,请参见发行版中的手册页。
1.3 Features 特征
- 支持的消息摘要算法: md5, sha1, rmd160, tiger, crc32, sha256, sha512, whirlpool (additionally with libmhash: gost, haval, crc32b)
- 支持的文件属性attributes: File type, Permissions, Inode, Uid, Gid, Link name, Size, Block count, Number of links, Mtime, Ctime and Atime
- 如果在以下位置编译支持Posix ACL,SELinux,XAttrs和扩展文件系统属性的支持
- 纯文本配置文件和数据库,以简化操作
- 强大的正则表达式支持可选择性地包括或排除要监视的文件和目录
- gzip数据库压缩(如果在zlib支持中编译)
- 独立的静态二进制文件,可轻松进行客户端/服务器监视配置
- 还有很多...
2. Use AIDE(aur) on Arch
https://wiki.archlinux.org/index.php/AIDE高级入侵检测环境(AIDE)是用于检查文件完整性的基于主机的入侵检测系统(HIDS)。它通过在初始运行时创建文件的基准数据库来执行此操作,然后在后续运行中对照系统检查该数据库。可以检查的文件属性包括索引节点,权限,修改时间,文件内容等。
AIDE仅进行文件完整性检查。它不会像其他一些HIDS(例如OSSEC)那样检查rootkit或分析日志文件是否存在可疑活动。对于这些功能,您可以使用其他的HIDS(请参阅此处以获得可能存在的偏差比较),或使用独立的rootkit扫描程序(rkhunter,chkrootkit)和日志监视解决方案(logwatch,logcheck)。
默认配置文件/etc/aide.conf具有相当合理的默认值,并带有大量注释。如果要更改规则,请参见man aide.conf 和AIDE手册 以获取文档。https://aide.github.io/doc/
用法:
- 要检查您的配置,请使用aide -D。
- 要初始化数据库,请使用aide -i或aideinit。根据您的配置和系统,此命令可能需要一段时间才能完成。
- 您可以使用对照基准数据库检查系统aide -C,或使用来更新基准数据库aide -u。
3. 几种主机/文件完整性监视程序的比较(2006年)
A comparison of several host/file integrity monitoring programshttps://www.la-samhna.de/library/scanners.html
By Rainer Wichmann rainer@la-samhna.de (last update: Dec 29, 2009)
注意: 对比软件版本多在2006年左右, 十几年前, 仅供参考. 另外这项研究的作者也是这些文件完整性检查程序之一(Samhain)的作者。也就是说,该研究在测试基于用户对Samhain的反馈以及作者对文件完整性扫描程序应提供哪些基本功能的个人意见的基础上是有偏见的。这就是Samhain通过所有这些测试的原因。研究的重点是测试扫描仪的功能, 而不是列出和/或比较其功能。
3.1 对比表
| Name | Afick | AIDE | FCheck | Integrit | Osiris | OSSEC | Samhain | Tripwire |
| Version | 2.9-1 | 0.13.1 | 2.07.59 | 4 | 4.2.2 | 2.3 | 2.2.6 | 2.4.0.1 |
| Date | 2006-10-05 | 2006-12-15 | 2001-05-03 | 2006-04-19 | 2006-09-14 | 2009-12-04 | 2006-10-31 | 2005-12-01 |
| PGP signed | NO | YES | NO | NO | YES | YES | YES | NO |
| Language | Perl | C | Perl | C | C | C | C | C++ |
| Required | libmhash | md5sum (or md5) | OpenSSL 0.9.6j or newer | GnuPG (only if signed config/database used) | ||||
| Log Options | stdout | stdout, stderr, file, file descriptor | stdout, syslog | stdout | central log server (email+file on server side) | central log server (email+file on server side) | stderr, email, file, pipe, syslog, RDBMS, central log server, prelude, external script, IPC message queue | stdout, file, email, syslog |
| DB sign/crypt | NO | NO | NO | NO | NO | NO | sign | sign+crypt |
| Conf sign/crypt | NO | NO | NO | NO | NO | NO | sign | sign+crypt |
| Name Expansion | shell-style | regex | NO | NO | regex | ignored files only (regex) | shell-style | NO |
| Duplicate Path | see remarks | NO | NO | Warns | N/A | Warns | Warns | Exits |
| PATH_MAX | NO | OK | OK | NO | NO | NO | OK | OK |
| Root Inode | OK | see remarks | NO | OK | OK | NO | OK | OK |
| Non-printable | NO | NO | NO | NO | OK | NO | OK | OK |
| No User | OK | OK | OK | OK | OK | OK | OK | OK |
| No Group | OK | OK | OK | OK | OK | OK | OK | OK |
| Lock | Hangs | OK | Hangs | Hangs | Hangs | Hangs | Times out | Hangs |
| Race | Hangs | Hangs | Hangs | Hangs | Hangs | Hangs | OK | Hangs |
| /proc | NO | NO | NO | NO | NO | OK | OK | NO |
| /dev | OK | OK | OK | OK | OK | NO | OK | OK |
| New/Del | OK | OK | OK | OK | OK | OK | OK | OK |
3.2 对比项目说明
- PGP SIGNATURE: 分布式源代码PGP是否签名?如果没有签名,则有可能在源代码中放入特洛伊木马(过去曾发生过一些与安全性相关的知名程序)!
- REQUIRED: 要求(编译器或解释器除外)。
- LOG OPTIONS: 支持哪些通道进行日志记录?
- DB SIGN/CRYPT: 扫描仪是否支持签名或加密的基准数据库?
- CONF SIGN/CRYPT: 扫描仪是否支持签名或加密的配置文件?
- NAME EXPANSION: 扫描程序是否支持在配置文件中扩展文件名(shell样式的模式或正则表达式)?
- DUPLICATE PATH: 扫描程序是否在配置文件中检查文件/目录的重复项(可能对重复项使用不同的检查策略)?严格检查配置文件可以帮助避免用户错误。
- PATH_MAX: 扫描程序可以处理其路径具有允许的最大长度的文件(在Linux上为4095)吗?
- ROOT INODE: 扫描程序可以处理“ /”目录索引节点吗?这是路径最短的文件,也是文件名中唯一带有“ /”的文件,因此它可能会暴露编程错误(并且您确实要检查该inode)。
- NON-PRINTABLE: 扫描仪可以处理带有奇怪或不可打印字符的文件名吗?如果它可以在内部处理它们,是否可以以有用的方式报告结果?...
- NO USER: 扫描程序可以处理不存在的用户(在/etc/passwd中没有的UID条目)拥有的文件吗?
- NO GROUP: 扫描程序可以处理不存在的组(在/etc/group中没有的GID条目)拥有的文件吗?
- LOCK: 如果另一个进程已在其上获得了强制性(内核强制)锁(是的,Linux拥有这种锁),则扫描程序可以处理文件 吗?可以打开()这样的文件以进行读取,但是read()本身将阻塞,因此,除非采取预防措施,否则扫描程序将无限期挂起。在Linux上,强制锁定需要特殊的挂载选项,因此通常不能由非特权用户强制执行。
- RACE: 文件完整性扫描程序首先使用lstat()确定文件是否为常规文件,然后使用open()对其进行读取以进行校验和。在这两个调用之间,对目录具有写访问权的用户可以用命名管道替换文件。结果,除非采取预防措施,否则open()调用将被阻塞,并且扫描程序可能会无限期挂起。
- /proc: 扫描程序能够扫描/proc目录吗?在Linux上,/proc中至少有一些文件是 可写的,并且可以在运行时用于配置内核,因此您可能需要检查这些文件。但是,/proc中的文件 可能列出的文件大小为零,即使您可以从中读取大量数据也是如此。几乎所有扫描程序都通过不对零长度文件进行校验和来“优化”,这在Linux /proc文件系统中是不正确的。此外,某些文件可能会阻止从中读取文件。
- /dev: /dev目录 是否存在扫描程序问题?是否允许检查设备文件(例如,获得正确的权限)?
- NEW/DEL: 扫描仪能否报告丢失(已删除)或新创建的文件?
4. See also
wikipedia: 基于主机的入侵检测系统比较; 数据包分析仪的比较.https://en.wikipedia.org/wiki/Advanced_Intrusion_Detection_Environment
https://en.wikipedia.org/wiki/Host-based_intrusion_detection_system_comparison
https://en.wikipedia.org/wiki/Comparison_of_packet_analyzers
Solaris服务器配置高级入侵检测工具AIDE
https://sites.google.com/site/linuxxuexi/wang-luo-an-quan/solaris-fu-wu-qi-pei-zhi-gao-ji-ru-qin-jian-ce-gong-juaide
Linux超实用的AIDE(高级入qin检测系统) 2017-11
https://blog.51cto.com/xsboke/1979229
如何在Linux中使用“AIDE”检查文件和目录的完整性
https://www.howtoing.com/check-integrity-of-file-and-directory-using-aide-in-linux
Gentoo Docs-入侵检测
https://wiki.gentoo.org/wiki/Security_Handbook?part=1&chap=13#doc_chap1
威胁和漏洞检测
https://wiki.archlinux.org/index.php/List_of_applications/Security#Threat_and_vulnerability_detection
|| lynis — Security and system auditing tool to harden Unix/Linux systems.
https://cisofy.com/lynis/
https://en.wikipedia.org/wiki/Lynis
Lynis是用于运行Linux,FreeBSD,macOS,OpenBSD,Solaris和其他Unix派生产品的计算机系统的可扩展安全审核工具。它协助系统管理员和安全专业人员扫描系统及其安全防御措施,最终目标是加强系统。
|| metasploit Metasploit Framework — An advanced open-source platform for developing, testing, and using exploit code.
https://www.metasploit.com/
File security 文件安全
|| aide AUR — File and directory integrity checker.
|| logwatch — Customizable log analysis system.
https://sourceforge.net/projects/logwatch/
https://wiki.archlinux.org/index.php/Logwatch
Anti malware 反恶意软件
|| clamav — Open source antivirus engine for detecting trojans, viruses, malware & other malicious threats.
http://www.clamav.net/
|| rkhunter Rootkit Hunter — Checks machines for the presence of rootkits and other unwanted tools.
http://rkhunter.sourceforge.net/
没有评论:
发表评论