一、入侵检测工具rkhunter

1、rkhunter是Linux系统平台下的一款开源入侵检测工具，具有非常全面的扫描范围。

rootkit hunter功能：

检测易受攻击的文件；

检测隐藏文件；

检测重要文件的权限；

检测系统端口号；

2、安装rkhunter

下载：http://sourceforge.net/projects/rkhunter

tar zxvf rkhunter-1.4.0.tar.gz
cd rkhunter-1.4.0
./installer.sh �Cinstall
vi /etc/rkhunter.conf
LOGFILE=/tmp/rkhunter/tkhunter_`date +%Y%m%d`.log  #修改生成日志文件位置

3、rkhunter使用

rkhunter �Ccheckall #执行rootkit预定库，来检测本地系统文件rkhunter --checkall--skip-keypress  #--skip-keyperss参数来自动持续检测，一直到结束

4、设置任务计划，定期检测

crontab -e30 08 * * * /usr/local/bin/rkhunter --checkall --cronjob  #每天早上08:30执行一次，--cronjobb，作为一个cron运行

二、入侵检测工具aide

1、AIDE一款开源入侵检测工具，主要用途是检查文档的完整性。

AIDE通过构造指定文件的完整性样本库（快照），作为比对标准，当这些文件发生改动时，其对应的校验值也必然随之变化，AIDE可以识别这些变化从而提醒管理员。AIDE监控的属性变化主要包括：权限、属主、属组、文件大小、创建时间、最后修改时间、最后访问时间、增加的大小以及链接数，并能够使用SHA1、MD5等算法为每个文件生成校验码。

2、安装aide

下载：http://sourceforge.net/projects/aide

yum install aidevi /etc/aide.confdatabase=file:@@{DBDIR}/aide.db.gz  #系统镜像库位置database_out=file:@@{DBDIR}/aide.db.new.gz  #新生成系统镜像库，默认在/var/lib/aide/下# Next decide whatdirectories/files you want in the database./boot   NORMAL/bin    NORMAL/sbin   NORMAL/lib    NORMAL/lib64  NORMAL#/opt    NORMAL #注释不检查目录/usr    NORMAL/root   NORMAL# These are too volatile ，排除掉个别不检查的目录!/usr/src!/usr/tmp#根据需求在下面添加新的检测目录/etc/exports  NORMAL/etc/fstab    NORMAL/etc/passwd   NORMAL

3、aide使用

aide --init  #初始化，建立第一个样本库cd /var/lib/aide/lsaide.db.new.gz  #新生成系统aide库mv aide.db.new.gz aide.db.gz  #需要重命名后才能使用aide --check  #确定正常运行aide库aide --update  #更新库，每次运行此命令，就会生成aide.db.new.gz，然后再重命名mv aide.db.new.gz aide.db.gzmv: overwrite `aide.db.gz'? y

4、aide入侵检测测试

我们更改了ftp可以登录系统的属性，使用aide检测，找出了与aide库不一样的文件。

aide --check --report=file:/tmp/aide-check-`date +%Y%m%d `.txt #--report是将信息输出到指定文件

5、设置任务计划，定期检测

crontab �Ce30 08 * * * /usr/sbin/aide --check--report=file:/tmp/aide-check-` date +%Y%m%d `.txt #每天早上08:30执行一次

也可以将信息发送到邮件:

30 08 * * * /usr/sbin/aide --check| mail �Cs “AIDE report“ test@163.com

本文出自 “李振良的技术博客” 博客，请务必保留此出处http://lizhenliang.blog.51cto.com/7876557/1307645