怎样在CentOS上配置基于主机的入侵检测系统?

任何系统管理员想要在其生产服务器上最先部署的安全措施之一就是检测文件篡改的机制――不法分子篡改的不仅仅是文件内容，还有文件属性。

AIDE(全称“高级入侵检测环境”)是一种基于主机的开源入侵检测系统。AIDE通过检查许多文件属性的不一致性来检查系统二进制文件和基本配置文件的完整性，这些文件属性包括权限、文件类型、索引节点(inode)、链接数量、链接名称、用户、用户组、文件大小、块计数、修改时间、访问时间、创建时间、访问控制列表(acl)、SELinux安全上下文、xattrs以及md5/sha校验和。

AIDE通过扫描一台(未被篡改)的Linux服务器的文件系统来构建文件属性数据库。然后，它对照该数据库，检查服务器的文件属性，然后在服务器运行时，一旦索引文件出现任何更改，就发出警告。正是由于这个原因，每当由于正当原因而更新系统或更改配置文件后，AIDE必须重新为受保护的文件编制索引。

对某些客户而言，他们的安全策略可能要求在服务器上安装某种入侵检测系统(IDS)。但无论客户是不是要求IDS，系统管理员部署IDS都是个好的做法。

在CentOS或RHEL上安装AIDE

AIDE的初始安装(以及首次运行)最好是在刚安装操作系统的系统上进行，没有任何服务暴露在互联网、甚至暴露在局域网面前。在这个早期阶段，我们可以将来自外部的一切闯入和篡改行为这种风险降到最低限度。事实上，这也是确保系统在AIDE构建其初始数据库时很干净的唯一途径。

由于这个原因，我们在使用# yum install aide这个命令安装AIDE后，需要将我们的机器从网络断开，并执行一些基本的配置任务，如下所述。

配置AIDE

默认配置文件位于/etc/aide.conf。该文件提供了几个示例保护规则(比如FIPSR、NORMAL、DIR和DATAONLY)，每个规则后面跟着一个等号以及要检查的文件属性列表，或者任何预定义规则(用+分隔)。你也可以使用这种格式定义任何自定义规则。

FIPSR = p+i+n+u+g+s+m+c+acl+selinux+xattrs+sha256

NORMAL = FIPSR+sha512

比如说，上述例子意味着，NORMAL规则将检查下列属性方面的不一致性：权限(p)、索引节点(i)、链接数量(n)、用户(u)、用户组(g)、大小(s)、修改时间(m)、创建时间(c)、访问控制列表(acl)、SELinux(selinux)、xattrs(xattr)以及SHA256/SHA512校验和(sha256和sha512)。

定义的规则可以灵活地用于不同的目录和文件(用正则表达式表示)。

条目前面的感叹号(!)告诉AIDE忽略子目录(或目录里面的文件)，可针对子目录定义另一个规则。

在上面这个例子中，PERMS是面向/etc及其子目录和文件的默认规则。然而，没有规则会应用于/etc中的备份文件(即/etc/.*~)，也不会应用于/etc/mtab文件。对于/etc中一些选择性的子目录或文件而言，而是应用NORMAL规则，替代默认规则PERMS。

定义合适的规则，并将其应用到系统中的合适位置，这是使用AIDE过程中最困难的部分，但运用良好的判断力是个好的开端。一个经验法则是，别检查不必要的属性。比如说，检查/var/log或/var/spool里面的文件的修改时间肯定会导致大量误报，因为有许多应用程序和守护进程常常将内容写入到这些位置。此外，检查多个校验和可能会加强安全性，不过代价是AIDE运行时间延长了。

另外，如果你使用MAILTO变量来指定电子邮件地址，可以将检查结果发送到你的邮箱。将下面这一行放入到/etc/aide.conf中的任何位置。

MAILTO=root@localhost

首次运行AIDE

运行下列命令对AIDE数据库进行初始化：

# aide --init

根据/etc/aide.conf生成的/var/lib/aide/aide.db.new.gz文件需要重命名为/var/lib/aide/aide.db.gz，以便让AIDE能读取它：

# mv /var/lib/aide/aide.db.new.gz /var/lib/aide.db.gz

现在，是时候对照数据库，执行我们的第一次系统检查了。为此，只要运行：

# aide

没有选项调用时，AIDE假设使用--check。

如果数据库创建后没有做过任何变更，AIDE在结束检查后会返回OK信息。

在生产环境中管理AIDE

构建初始AIDE数据库后，你常常需要由于各种正当的原因更新受保护的服务器，这是日常系统管理活动的一部分。每次服务器经过更新后，你必须重新构建AIDE数据库，以便将变更内容添加到数据库。为此，使用这个命令：

# aide --update

为了使用AIDE保护生产系统，可能最好安排一个计划任务，以便定期使用AIDE检查任何不一致性。比如说，安排AIDE每天运行一次，并将结果发送到电子邮件地址：

# crontab -e

0 0 * * * /usr/sbin/aide --check | /usr/bin/mail -s "AIDE run for $HOSTNAME" your@email.com

测试AIDE检查文件篡改的功能

下列测试场景将演示AIDE如何检查文件的完整性。

测试场景1

我们不妨添加一个新文件(比如/etc/fake)。

# cat /dev/null > /etc/fake

测试场景 2

我们不妨变更文件权限，看看它能否被检测到。

# chmod 644 /etc/aide.conf

测试场景 3

最后，我们不妨更改文件内容(比如添加一个注释行到/etc/aide.conf)。

echo "#This is a comment" >> /etc/aide.conf

在上面的屏幕截图中，第一列显示了文件属性，第二列显示了AIDE数据库中的值，第三列显示了那些属性的更新后值。第三列中的空白部分表示该属性没有更改(该例子中的ACL)。

结束语

要是你果真觉得自己处于这种情形：有充分的理由认为系统已遭到了篡改，可是乍一看又无法查明什么有可能遭到了更改，像AIDE这样的基于主机的入侵检测系统就大有帮助，因为它可以帮助你尽快查明什么遭到了更改，而不是胡加猜测、浪费宝贵的时间。