監控Linux文件信息

Linux面臨的安全威脅

黑客入侵往往從管理員不注意的地方下手，例如非法替換系統命令，讓管理員在執行看似正常的命令時，其實運行的是黑客設計的程序。利用系統的原始完整記錄，就可以發現操作系統的哪些文件發生了變化。對于定時任務，Kernel模塊等對象，也需要經常進行檢測。

當黑客試圖對系統進行滲透時，往往會采用正向或者和反向的方式進行。對于前者來說，黑客會利用設置定時任務或者替換可執行文件的方式，當觸發的時候，黑客預設的程序就會在系統中開啟后門。對于后者，黑客會先在系統中植入木馬，讓其反向訪問黑客控制的頁面或者主機，來讓黑客獲得入侵接口等。

對AIDE進行配置

企業版RedHat內置了名為AIDE的軟件，是一款很專業的檢測程序，其運行原理是當配置好系統后，將整個文件系統進行初始化并進行索引，將每個文件的哈希值存放到數據庫中。在默認情況下，AIDE會監控所有的可執行文件和相關的配置文件，但是不會監控所有文件。管理員懷疑存在安全隱患的話，可以利用AIDE對系統進行徹底檢查，來了解其監控的系統關鍵文件（例如可執行文件，配置文件等）是否被修改過，而且AIDE記錄的數據很難被偽造。以Root賬戶登錄系統，執行“yum install aide”命令，來安裝該軟件。

執 行“vim /etc/aide.conf”命令，打開AIDE的配置文件。可以看到在默認情況下，數據庫存放在“/etc/lib/aide”目錄下。原始數據庫文件名稱為“aide.db.gz”，新生成的數據庫文件名稱為“aide.db.new.gz”。所謂原版數據庫文件，是指AIDE初始化時，生成的文件信息記錄文件。當進行安全檢查時，必須再次進行掃描來創建新的記錄數據，之后將兩者進行比較，來發現可疑的變動信息。為了節省磁盤空間，AIDE會對數據庫進行壓縮處理。AIDE 會 對“/boot”、“/bin”、“/sbin”、“/lib”、“/opt”、“/usr”、“/root”等 系 統 目 錄進行全面監控。用戶也可以將更多的目錄添加進來，讓AIDE對其全面監控。

設置監控內容

在默認配置中，對于“/etc”目錄只是進行權限監控，對其中的文件內容不進行檢查。即在該目錄下如果部署相應的配置文件，那么只有權限發生變動，AIDE才對使用者進行報告。這主要是因為該目錄下的文件變動比較頻繁，所以對其全面監控作用有限。對于該目錄下特定的配置文件（例如“/etc/xxx.cfg NORMAL”）， 因為內容不會經常變動，可以將其添加進來。這樣，如果被修改，管理員就能及時發現。對監控的對象，后面需要跟隨“NORMAL”參數。注意，后面不要添加“PERM”參數，該參數表示只進行權限檢測。

通過該配置文件，系統的所有關鍵位置都處于AIDE的監控之中。當配置好系統后，執行“aide --init”命令，對全盤進行初始化，這需要花費一段時間。完畢后執 行“ll /var/lib/aide”命令，顯示新建立的“aide.db.new.gz”數據庫文件。進入該目錄，執行“mv aide.db.new.gz aide.db.gz”，進行更名操作，作為原始的數據庫文件。

當系統運行一段時間后，管理員希望檢查系統是否存在安全問題的話，可以執行“aide”命令，AIDE可以對系統進行掃描，創建新的數據庫文件，之后和原始的數據庫進行比對，發現監控的系統關鍵點以及用戶自定義監控點的變化情況。

檢測Linux文件變動情況

如果發生變動，AIDE都會完整地顯示出來，例如，新增的文件、內容變動的文件、刪除的文件等。在報告信息中的“Detailed information about changes” 列 表 中，會針對每一個變化的文件，列出詳細的變化信息，例如文件尺寸、創建時間、修改時間、哈希值（包括MD5，RMD160，SHA256）等。

對于已經被入侵的系統，不要直接在該環境中進行安全檢查，要進入一個干凈的環境（例如救援模式，將本機硬盤掛載到正常的系統中等），即使進行救援模式等環境，一定不要運行其中的任何文件。之后，利用AIDE的原始數據庫，就可以進行安全檢查了。檢查出問題后，最好的解決方法是重裝系統，而不要嘗試進行修復。