【51CTO.com快譯】如果你部署了一臺(tái)CentOS服務(wù)器，就會(huì)想要確保服務(wù)器盡量可靠。因?yàn)樗荓inux系統(tǒng)，你可以采取許多方法進(jìn)一步加固這個(gè)平臺(tái)。你可以通過入侵檢測(cè)工具增添一道安全性，該工具將充當(dāng)一種高級(jí)的文件和文件夾完整性檢查機(jī)制。

對(duì)CentOS來說，最流行的入侵檢測(cè)系統(tǒng)之一就是AIDE。這種系統(tǒng)可以創(chuàng)建數(shù)據(jù)庫(kù)，用來核實(shí)你機(jī)器上文件的完整性。AIDE的主要功能如下：

·支持md5、sha1、rmd160、tiger、crc32、sha256和sha512摘要算法

·支持這些文件類型：權(quán)限、Inode、UID、GID、鏈接名稱、大小、塊數(shù)量、鏈接數(shù)量、mtime、ctime和atime等文件屬性

·支持這些文件系統(tǒng)屬性：Posix ACL、SELinux、XAttrs和Extended

·支持正則表達(dá)式，可以選擇性地添加或排除文件/目錄

·支持GZIP數(shù)據(jù)庫(kù)壓縮

不妨將AIDE安裝到CentOS 7，看看它的實(shí)際效果怎樣。

安裝AIDE

由于AIDE存在于標(biāo)準(zhǔn)的軟件庫(kù)中，安裝很簡(jiǎn)單，步驟如下：

1. 打開終端窗口。

2. 執(zhí)行命令su，看到提示后，輸入你的管理員管理員。

3. 執(zhí)行命令yum install aide。

4. 輸入y，接受安裝。

5. 讓安裝完成。

鑒于AIDE已安裝完畢，你得使用命令aide -v檢查和核實(shí)AIDE版本。該命令會(huì)報(bào)告版本號(hào)、編譯的選項(xiàng)以及配置文件的位置(見圖A)。

圖A：AIDE已安裝完畢，準(zhǔn)備運(yùn)行。

創(chuàng)建數(shù)據(jù)庫(kù)

你用AIDE做的第一件事就是創(chuàng)建一個(gè)數(shù)據(jù)庫(kù)。你可以使用默認(rèn)的默認(rèn)文件來創(chuàng)建數(shù)據(jù)庫(kù)。如果你想微調(diào)/etc/aide.conf文件，就用常用編輯工具打開它，檢查目錄這個(gè)部分，你可以添加/刪除待監(jiān)測(cè)的目錄。除此之外，我不會(huì)改動(dòng)配置文件。

目錄添加部分看起來就像這樣：

/boot NORMAL

/bin NORMAL

/sbin NORMAL

/lib NORMAL

/lib64 NORMAL

/opt NORMAL

/usr NORMAL

/root NORMAL

這定義了由AIDE監(jiān)測(cè)的目錄，使用正常的散列(R+rmd160+sha256+whirlpool)。下面你會(huì)看到/etc目錄已列出來，使用PERMS散列(p+i+u+g+acl+selinux)加以監(jiān)測(cè);你可以往這部分添加目錄，或者從這部分刪除目錄。想了解AIDE散列的更多信息，可以查閱/etc/aide.conf配置文件的最上面部分。

配置編輯完畢后，現(xiàn)在你得創(chuàng)建數(shù)據(jù)庫(kù)。為此，執(zhí)行命令aide —init。創(chuàng)建數(shù)據(jù)庫(kù)需要一些時(shí)間。一旦創(chuàng)建完畢，AIDE就會(huì)向你報(bào)告：數(shù)據(jù)庫(kù)創(chuàng)建已完成。

運(yùn)行檢查

你初始化數(shù)據(jù)庫(kù)后，它會(huì)創(chuàng)建/var/lib/aide/aide.bb.new.gz，你可以隨時(shí)初始化數(shù)據(jù)庫(kù)。然而，要想使用AIDE來運(yùn)行檢查，數(shù)據(jù)庫(kù)必須位于/var/lib/aide/aide.bb.gz.。為了解決這個(gè)問題，你得使用這個(gè)命令更名剛創(chuàng)建的數(shù)據(jù)庫(kù)：

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

一旦做好了這方面，執(zhí)行命令aide —check。實(shí)際的檢查要花很長(zhǎng)的時(shí)間，所以可以處理其他任務(wù)。AIDE檢查完畢后，它會(huì)生成一份報(bào)告，你可以細(xì)細(xì)閱讀(見圖B)。

圖B：查看AIDE報(bào)告。

測(cè)試AIDE

不妨測(cè)試一下AIDE的準(zhǔn)確性。創(chuàng)建假文件/usr/bin/aidetest，重新運(yùn)行命令aide —check。在隨后生成的報(bào)告中，你應(yīng)該會(huì)看到添加的結(jié)果(見圖C)。

圖C：報(bào)告的假文件。

你審閱報(bào)告、核實(shí)變化后，創(chuàng)建一個(gè)新的數(shù)據(jù)庫(kù)總是件好事;不然，該變化就會(huì)對(duì)照原始數(shù)據(jù)庫(kù)一再報(bào)告。于是回到aide —init命令，我們接著創(chuàng)建新數(shù)據(jù)庫(kù)。一旦完畢，你得用這個(gè)命令再次更名：

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

定期檢查

遺憾的是，AIDE并不包括自動(dòng)運(yùn)行檢查的功能。你可以創(chuàng)建一個(gè)bas腳本來運(yùn)行檢查，并將它設(shè)為一個(gè)計(jì)劃任務(wù)(cron job)。為此，可以讓AIDE將結(jié)果倒到一個(gè)文件中，那樣你可以定期檢查。示例性的bash腳本就像這樣：

#!/bin/sh

#aide checkDATE=`date +%Y-%m-%d`

aide --check > /tmp/aidecheck_$DATE.txt

保存該文件，用命令chmod +x FILENAME(FILENAME是你腳本的名稱)為它賦予可執(zhí)行權(quán)限，然后添加一個(gè)計(jì)劃任務(wù)，以便定期運(yùn)行腳本。

無論你是不是自動(dòng)運(yùn)行AIDE，都應(yīng)該定期檢查文件系統(tǒng)的現(xiàn)狀。

必備工具

你需要為任何Linux服務(wù)器確保安全;即便你擁有一個(gè)特別加固的網(wǎng)絡(luò)，也并不意味著就沒有漏網(wǎng)之魚。將AIDE安裝到你的Linux系統(tǒng)上，并定期、明智地使用它，從而提高你的安全系數(shù)。

原文標(biāo)題：How to install Advanced Intrusion Detection Environment on CentOS          作者：Jack Wallen

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】