服务器安全:入侵检测与响应全解析
1. 基于主机的入侵检测
当有人非法访问计算机时,通常会采取以下两种行动:
- 隐藏入侵行为:包括操纵日志文件,用修改后的版本替换系统程序,例如替换ps、top和ls等程序,使其不显示入侵者在攻击过程中使用的某些进程和文件。
- 安装软件:一旦入侵者获得 root 权限,就可以安装任何软件,从编译器、远程 shell 到操纵内核的 root 工具包等。
检测被篡改或新增文件的可靠方法是从干净的介质(如 CD 上的救援系统)启动计算机。在攻击后检查运行中的计算机有一定价值,但由于检查涉及的工具、库或内核本身可能已被篡改,无法确定文件是否被操纵。
以下是用于检测修改文件的程序:
-AIDE:高级入侵检测环境,分两个阶段工作:
1. 构建文件系统中文件的校验和(如 MD5 等)和其他信息的数据库。
2. 之后将数据库与文件系统进行比较,记录任何差异。
-rpm:RPM 包管理器,可检查从 rpm 包安装的文件的完整性,通过输入rpm -V进行验证,此检查依赖于文件的 MD5 哈希、文件大小、权限、文件类型、所有者、组和修改时间,并与 rpm 数据库中的值进行比较。
1.1 AIDE 的使用
1.1.1 配置文件
在构建数据库之前,需要确定要监控的文件,并相应地修改配置文件/etc/aide.co
