監(jiān)控Linux文件信息

Linux面臨的安全威脅

黑客入侵往往從管理員不注意的地方下手，例如非法替換系統(tǒng)命令，讓管理員在執(zhí)行看似正常的命令時(shí)，其實(shí)運(yùn)行的是黑客設(shè)計(jì)的程序。利用系統(tǒng)的原始完整記錄，就可以發(fā)現(xiàn)操作系統(tǒng)的哪些文件發(fā)生了變化。對(duì)于定時(shí)任務(wù)，Kernel模塊等對(duì)象，也需要經(jīng)常進(jìn)行檢測(cè)。

當(dāng)黑客試圖對(duì)系統(tǒng)進(jìn)行滲透時(shí)，往往會(huì)采用正向或者和反向的方式進(jìn)行。對(duì)于前者來說，黑客會(huì)利用設(shè)置定時(shí)任務(wù)或者替換可執(zhí)行文件的方式，當(dāng)觸發(fā)的時(shí)候，黑客預(yù)設(shè)的程序就會(huì)在系統(tǒng)中開啟后門。對(duì)于后者，黑客會(huì)先在系統(tǒng)中植入木馬，讓其反向訪問黑客控制的頁面或者主機(jī)，來讓黑客獲得入侵接口等。

對(duì)AIDE進(jìn)行配置

企業(yè)版RedHat內(nèi)置了名為AIDE的軟件，是一款很專業(yè)的檢測(cè)程序，其運(yùn)行原理是當(dāng)配置好系統(tǒng)后，將整個(gè)文件系統(tǒng)進(jìn)行初始化并進(jìn)行索引，將每個(gè)文件的哈希值存放到數(shù)據(jù)庫中。在默認(rèn)情況下，AIDE會(huì)監(jiān)控所有的可執(zhí)行文件和相關(guān)的配置文件，但是不會(huì)監(jiān)控所有文件。管理員懷疑存在安全隱患的話，可以利用AIDE對(duì)系統(tǒng)進(jìn)行徹底檢查，來了解其監(jiān)控的系統(tǒng)關(guān)鍵文件（例如可執(zhí)行文件，配置文件等）是否被修改過，而且AIDE記錄的數(shù)據(jù)很難被偽造。以Root賬戶登錄系統(tǒng)，執(zhí)行“yum install aide”命令，來安裝該軟件。

執(zhí) 行“vim /etc/aide.conf”命令，打開AIDE的配置文件。可以看到在默認(rèn)情況下，數(shù)據(jù)庫存放在“/etc/lib/aide”目錄下。原始數(shù)據(jù)庫文件名稱為“aide.db.gz”，新生成的數(shù)據(jù)庫文件名稱為“aide.db.new.gz”。所謂原版數(shù)據(jù)庫文件，是指AIDE初始化時(shí)，生成的文件信息記錄文件。當(dāng)進(jìn)行安全檢查時(shí)，必須再次進(jìn)行掃描來創(chuàng)建新的記錄數(shù)據(jù)，之后將兩者進(jìn)行比較，來發(fā)現(xiàn)可疑的變動(dòng)信息。為了節(jié)省磁盤空間，AIDE會(huì)對(duì)數(shù)據(jù)庫進(jìn)行壓縮處理。AIDE 會(huì) 對(duì)“/boot”、“/bin”、“/sbin”、“/lib”、“/opt”、“/usr”、“/root”等 系 統(tǒng) 目 錄進(jìn)行全面監(jiān)控。用戶也可以將更多的目錄添加進(jìn)來，讓AIDE對(duì)其全面監(jiān)控。

設(shè)置監(jiān)控內(nèi)容

在默認(rèn)配置中，對(duì)于“/etc”目錄只是進(jìn)行權(quán)限監(jiān)控，對(duì)其中的文件內(nèi)容不進(jìn)行檢查。即在該目錄下如果部署相應(yīng)的配置文件，那么只有權(quán)限發(fā)生變動(dòng)，AIDE才對(duì)使用者進(jìn)行報(bào)告。這主要是因?yàn)樵撃夸浵碌奈募儎?dòng)比較頻繁，所以對(duì)其全面監(jiān)控作用有限。對(duì)于該目錄下特定的配置文件（例如“/etc/xxx.cfg NORMAL”）， 因?yàn)閮?nèi)容不會(huì)經(jīng)常變動(dòng)，可以將其添加進(jìn)來。這樣，如果被修改，管理員就能及時(shí)發(fā)現(xiàn)。對(duì)監(jiān)控的對(duì)象，后面需要跟隨“NORMAL”參數(shù)。注意，后面不要添加“PERM”參數(shù)，該參數(shù)表示只進(jìn)行權(quán)限檢測(cè)。

通過該配置文件，系統(tǒng)的所有關(guān)鍵位置都處于AIDE的監(jiān)控之中。當(dāng)配置好系統(tǒng)后，執(zhí)行“aide --init”命令，對(duì)全盤進(jìn)行初始化，這需要花費(fèi)一段時(shí)間。完畢后執(zhí) 行“l(fā)l /var/lib/aide”命令，顯示新建立的“aide.db.new.gz”數(shù)據(jù)庫文件。進(jìn)入該目錄，執(zhí)行“mv aide.db.new.gz aide.db.gz”，進(jìn)行更名操作，作為原始的數(shù)據(jù)庫文件。

當(dāng)系統(tǒng)運(yùn)行一段時(shí)間后，管理員希望檢查系統(tǒng)是否存在安全問題的話，可以執(zhí)行“aide”命令，AIDE可以對(duì)系統(tǒng)進(jìn)行掃描，創(chuàng)建新的數(shù)據(jù)庫文件，之后和原始的數(shù)據(jù)庫進(jìn)行比對(duì)，發(fā)現(xiàn)監(jiān)控的系統(tǒng)關(guān)鍵點(diǎn)以及用戶自定義監(jiān)控點(diǎn)的變化情況。

檢測(cè)Linux文件變動(dòng)情況

如果發(fā)生變動(dòng)，AIDE都會(huì)完整地顯示出來，例如，新增的文件、內(nèi)容變動(dòng)的文件、刪除的文件等。在報(bào)告信息中的“Detailed information about changes” 列 表 中，會(huì)針對(duì)每一個(gè)變化的文件，列出詳細(xì)的變化信息，例如文件尺寸、創(chuàng)建時(shí)間、修改時(shí)間、哈希值（包括MD5，RMD160，SHA256）等。

對(duì)于已經(jīng)被入侵的系統(tǒng)，不要直接在該環(huán)境中進(jìn)行安全檢查，要進(jìn)入一個(gè)干凈的環(huán)境（例如救援模式，將本機(jī)硬盤掛載到正常的系統(tǒng)中等），即使進(jìn)行救援模式等環(huán)境，一定不要運(yùn)行其中的任何文件。之后，利用AIDE的原始數(shù)據(jù)庫，就可以進(jìn)行安全檢查了。檢查出問題后，最好的解決方法是重裝系統(tǒng)，而不要嘗試進(jìn)行修復(fù)。