Solaris伺服器配置高級入侵檢測工具AIDE

一、AIDE簡介

AIDE即Advanced Intrusion Detection Environment,直譯為高級入侵檢測環境,AIDE,是一個文件完整性檢測工具,AIDE 能夠構造 一個指定文件的資料庫,它使用aide.conf作為其配置文件.AIDE生成的資料庫能夠保存文件的各種屬性,包括：許可權(permission)、索 引節點序號(inodenumber)、所屬用戶(user)、所屬用戶組(group)、文件大小、最后修改時間(mtime)、創建時間 (ctime)、最后訪問時間(atime)、增加的大小以及連接數.AIDE還能夠使用下列演算法：sha1、md5、rmd160、tiger,以密文 形式建立每個文件的校驗碼或散列.

一旦一台計算機系統被攻擊,所有的信息都將暴露在攻擊者的視野中.如果攻擊者能很好的隱藏痕迹, 那麼入侵的事實是一下很難被發現的,隨著時間的推移攻擊者將會發現越來越多的有用信息.管理員在系統安裝完畢,連接到網路上之前,可以通過該程序建立新系 統的AIDE資料庫.這個AIDE資料庫是系統的一個快照和以後系統升級的準繩.資料庫應該至少包含這些信息：關鍵的系統二進位可執行程序、動態連接庫、 頭文件以及其它總是保持不變的文件.(當然也可以用一些變通的策略,例如/dev 下很多終端設備只是permisson變動,只要檢查時去掉許可權檢查,就不會被報警淹沒.)

一旦發現系統被侵入,系統管理員會使用ls、lsof、 ps、netstat、last以及who等系統工具對系統進行檢查,但是所有這些系統工具都可能被rootkit 程序代替了.可以想象被修改的ls 程序、ps 也不會顯示任何入侵進程的信息,甚至本身就是一個肩負backdoor任務的程序.即使系統管理員恐怕永遠也無法通過簡單的文件屬性來獲知它們是否被修改 過了,文件日期、大小等信息是非常容易改變的,如利用touch.系統管理員需要安裝入侵檢測工具才能更好的提高信息的安全性.AIDE, 高級入侵檢測環境, 是一個文件完整性檢測工具, 一種類型的入侵檢測程序.使用AIDE, 系統中的重要文件和文件相關的屬性如許可權, inode號, 用戶, 用戶組和鏈接數,也包括創建每一個文件的加密校驗都會被創建到一個資料庫中.

　　圖1 AIDE的工作流程

AIDE的工作流程包括如下步驟：

　　(1)設定aide.conf
　　(2)依據aide.conf建立資料庫文件
　　(3)執行文件審核確認完整性,文件系統是否有發生異常
　　(4)回報異常
　　(5)檢查異常是否屬於正常
　　(6) 重設aide.conf,更新資料庫文件或者採取安全的補救措施.

三、下載安裝AIDE

1.下載安裝mhash,擴展庫

　　Mhash擴展庫支持12種混編演算法,可以知道,它支持下面的混編演算法：
CRC32 HAVAL160 MD5
　　CRC32B HAVAL192 RIPEMD160
　　GOST HAVAL224 SHA1
　　HAVAL128 HAVAL256 TIGER
　　#wget ftp://ftp.sunfreeware.com/pub/fr ... -sol10-x86-local.gz
　　#gunzip mhash-0.9.9-sol10-x86-local
　　#pkgadd –d mhash-0.9.9-sol10-x86-local

2. 下載安裝libiconv庫

libiconv庫為需要做轉換的應用提供了一個iconv()的函數,以實現一個字元編碼到另一個字元編碼的轉換.由於歷史原因,國際化的文字常常由 於語言或者國家的原因使用不同的編碼.隨著互聯網時代的到來,通過互聯網進行文字交流也逐漸增多：瀏覽外國的網站,這個時候字元編碼的轉換變得尤為重要. 這帶來了一個問題,就是許多字元在某一種編碼方式中沒有.為了解決這種混亂,Unicode的編碼方式被建立.Unicode是一種超級編碼包含了所有這 些編碼的字符集,因此一些新的文本格式像XML的默認編碼方式就是Unicode.

但是很多老式的計算機還在使用當地的傳統的字元編碼方式. 而一些程序,例如郵件程序和瀏覽器必須能在這些不同的用戶編碼之間作轉換.其他的一些程序則內置支持Unicode,以順利支持國際化的處理,但是仍然有 在Unicode和其他的傳統編碼之間轉換的需求.GNU的libiconv就是為這兩種應用設計的編碼轉換庫.

3下載安裝libgcc

　 　Libgcc是編譯器內部的函數庫,是用來實現目標平台沒有直接實現的語言元素.舉個例子,C 語言的模運算符 ("%")在某個平台上可能無法映射到一條彙編指令.可能用一個函數調用實現比讓編譯器為其生成內嵌代碼更受歡迎(特別是對一些內存受限的計算機來說,比 如微控制器).很多其它的基本運算,包括除法、乘法、字元串處理(比如 memory copy)一般都會在這類函數庫中實現.