Linux面临的安全威胁

黑客入侵往往从管理员不注意的地方下手，例如非法替换系统命令，让管理员在执行看似正常的命令时，其实运行的是黑客设计的程序。利用系统的原始完整记录，就可以发现操作系统的哪些文件发生了变化。对于定时任务，Kernel模块等对象，也需要经常进行检测。

当黑客试图对系统进行渗透时，往往会采用正向或者和反向的方式进行。对于前者来说，黑客会利用设置定时任务或者替换可执行文件的方式，当触发的时候，黑客预设的程序就会在系统中开启后门。对于后者，黑客会先在系统中植入木马，让其反向访问黑客控制的页面或者主机，来让黑客获得入侵接口等。

对AIDE进行配置

企业版RedHat内置了名为AIDE的软件，是一款很专业的检测程序，其运行原理是当配置好系统后，将整个文件系统进行初始化并进行索引，将每个文件的哈希值存放到数据库中。在默认情况下，AIDE会监控所有的可执行文件和相关的配置文件，但是不会监控所有文件。管理员怀疑存在安全隐患的话，可以利用AIDE对系统进行彻底检查，来了解其监控的系统关键文件（例如可执行文件，配置文件等）是否被修改过，而且AIDE记录的数据很难被伪造。以Root账户登录系统，执行“yum install aide”命令，来安装该软件。

执 行“vim /etc/aide.conf”命令，打开AIDE的配置文件。可以看到在默认情况下，数据库存放在“/etc/lib/aide”目录下。原始数据库文件名称为“aide.db.gz”，新生成的数据库文件名称为“aide.db.new.gz”。所谓原版数据库文件，是指AIDE初始化时，生成的文件信息记录文件。当进行安全检查时，必须再次进行扫描来创建新的记录数据，之后将两者进行比较，来发现可疑的变动信息。为了节省磁盘空间，AIDE会对数据库进行压缩处理。AIDE 会 对“/boot”、“/bin”、“/sbin”、“/lib”、“/opt”、“/usr”、“/root”等 系 统 目 录进行全面监控。用户也可以将更多的目录添加进来，让AIDE对其全面监控。

设置监控内容

在默认配置中，对于“/etc”目录只是进行权限监控，对其中的文件内容不进行检查。即在该目录下如果部署相应的配置文件，那么只有权限发生变动，AIDE才对使用者进行报告。这主要是因为该目录下的文件变动比较频繁，所以对其全面监控作用有限。对于该目录下特定的配置文件（例如“/etc/xxx.cfg NORMAL”）， 因为内容不会经常变动，可以将其添加进来。这样，如果被修改，管理员就能及时发现。对监控的对象，后面需要跟随“NORMAL”参数。注意，后面不要添加“PERM”参数，该参数表示只进行权限检测。

通过该配置文件，系统的所有关键位置都处于AIDE的监控之中。当配置好系统后，执行“aide --init”命令，对全盘进行初始化，这需要花费一段时间。完毕后执 行“ll /var/lib/aide”命令，显示新建立的“aide.db.new.gz”数据库文件。进入该目录，执行“mv aide.db.new.gz aide.db.gz”，进行更名操作，作为原始的数据库文件。

当系统运行一段时间后，管理员希望检查系统是否存在安全问题的话，可以执行“aide”命令，AIDE可以对系统进行扫描，创建新的数据库文件，之后和原始的数据库进行比对，发现监控的系统关键点以及用户自定义监控点的变化情况。

检测Linux文件变动情况

如果发生变动，AIDE都会完整地显示出来，例如，新增的文件、内容变动的文件、删除的文件等。在报告信息中的“Detailed information about changes” 列 表 中，会针对每一个变化的文件，列出详细的变化信息，例如文件尺寸、创建时间、修改时间、哈希值（包括MD5，RMD160，SHA256）等。

对于已经被入侵的系统，不要直接在该环境中进行安全检查，要进入一个干净的环境（例如救援模式，将本机硬盘挂载到正常的系统中等），即使进行救援模式等环境，一定不要运行其中的任何文件。之后，利用AIDE的原始数据库，就可以进行安全检查了。检查出问题后，最好的解决方法是重装系统，而不要尝试进行修复。