【51CTO.com快譯】如果你部署了一臺CentOS服務(wù)器，就會想要確保服務(wù)器盡量可靠。因為它是Linux系統(tǒng)，你可以采取許多方法進一步加固這個平臺。你可以通過入侵檢測工具增添一道安全性，該工具將充當(dāng)一種高級的文件和文件夾完整性檢查機制。

對CentOS來說，最流行的入侵檢測系統(tǒng)之一就是AIDE。這種系統(tǒng)可以創(chuàng)建數(shù)據(jù)庫，用來核實你機器上文件的完整性。AIDE的主要功能如下：

·支持md5、sha1、rmd160、tiger、crc32、sha256和sha512摘要算法

·支持這些文件類型：權(quán)限、Inode、UID、GID、鏈接名稱、大小、塊數(shù)量、鏈接數(shù)量、mtime、ctime和atime等文件屬性

·支持這些文件系統(tǒng)屬性：Posix ACL、SELinux、XAttrs和Extended

·支持正則表達式，可以選擇性地添加或排除文件/目錄

·支持GZIP數(shù)據(jù)庫壓縮

不妨將AIDE安裝到CentOS 7，看看它的實際效果怎樣。

安裝AIDE

由于AIDE存在于標準的軟件庫中，安裝很簡單，步驟如下：

1. 打開終端窗口。

2. 執(zhí)行命令su，看到提示后，輸入你的管理員管理員。

3. 執(zhí)行命令yum install aide。

4. 輸入y，接受安裝。

5. 讓安裝完成。

鑒于AIDE已安裝完畢，你得使用命令aide -v檢查和核實AIDE版本。該命令會報告版本號、編譯的選項以及配置文件的位置(見圖A)。

圖A：AIDE已安裝完畢，準備運行。

創(chuàng)建數(shù)據(jù)庫

你用AIDE做的第一件事就是創(chuàng)建一個數(shù)據(jù)庫。你可以使用默認的默認文件來創(chuàng)建數(shù)據(jù)庫。如果你想微調(diào)/etc/aide.conf文件，就用常用編輯工具打開它，檢查目錄這個部分，你可以添加/刪除待監(jiān)測的目錄。除此之外，我不會改動配置文件。

目錄添加部分看起來就像這樣：

/boot NORMAL

/bin NORMAL

/sbin NORMAL

/lib NORMAL

/lib64 NORMAL

/opt NORMAL

/usr NORMAL

/root NORMAL

這定義了由AIDE監(jiān)測的目錄，使用正常的散列(R+rmd160+sha256+whirlpool)。下面你會看到/etc目錄已列出來，使用PERMS散列(p+i+u+g+acl+selinux)加以監(jiān)測;你可以往這部分添加目錄，或者從這部分刪除目錄。想了解AIDE散列的更多信息，可以查閱/etc/aide.conf配置文件的最上面部分。

配置編輯完畢后，現(xiàn)在你得創(chuàng)建數(shù)據(jù)庫。為此，執(zhí)行命令aide —init。創(chuàng)建數(shù)據(jù)庫需要一些時間。一旦創(chuàng)建完畢，AIDE就會向你報告：數(shù)據(jù)庫創(chuàng)建已完成。

運行檢查

你初始化數(shù)據(jù)庫后，它會創(chuàng)建/var/lib/aide/aide.bb.new.gz，你可以隨時初始化數(shù)據(jù)庫。然而，要想使用AIDE來運行檢查，數(shù)據(jù)庫必須位于/var/lib/aide/aide.bb.gz.。為了解決這個問題，你得使用這個命令更名剛創(chuàng)建的數(shù)據(jù)庫：

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

一旦做好了這方面，執(zhí)行命令aide —check。實際的檢查要花很長的時間，所以可以處理其他任務(wù)。AIDE檢查完畢后，它會生成一份報告，你可以細細閱讀(見圖B)。

圖B：查看AIDE報告。

測試AIDE

不妨測試一下AIDE的準確性。創(chuàng)建假文件/usr/bin/aidetest，重新運行命令aide —check。在隨后生成的報告中，你應(yīng)該會看到添加的結(jié)果(見圖C)。

圖C：報告的假文件。

你審閱報告、核實變化后，創(chuàng)建一個新的數(shù)據(jù)庫總是件好事;不然，該變化就會對照原始數(shù)據(jù)庫一再報告。于是回到aide —init命令，我們接著創(chuàng)建新數(shù)據(jù)庫。一旦完畢，你得用這個命令再次更名：

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

定期檢查

遺憾的是，AIDE并不包括自動運行檢查的功能。你可以創(chuàng)建一個bas腳本來運行檢查，并將它設(shè)為一個計劃任務(wù)(cron job)。為此，可以讓AIDE將結(jié)果倒到一個文件中，那樣你可以定期檢查。示例性的bash腳本就像這樣：

#!/bin/sh

#aide checkDATE=`date +%Y-%m-%d`

aide --check > /tmp/aidecheck_$DATE.txt

保存該文件，用命令chmod +x FILENAME(FILENAME是你腳本的名稱)為它賦予可執(zhí)行權(quán)限，然后添加一個計劃任務(wù)，以便定期運行腳本。

無論你是不是自動運行AIDE，都應(yīng)該定期檢查文件系統(tǒng)的現(xiàn)狀。

必備工具

你需要為任何Linux服務(wù)器確保安全;即便你擁有一個特別加固的網(wǎng)絡(luò)，也并不意味著就沒有漏網(wǎng)之魚。將AIDE安裝到你的Linux系統(tǒng)上，并定期、明智地使用它，從而提高你的安全系數(shù)。

原文標題：How to install Advanced Intrusion Detection Environment on CentOS          作者：Jack Wallen

【51CTO譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】