In Linux-Systemen sind wir normalerweise mit Situationen konfrontiert, in denen Daten zwischen verschiedenen Anwendungen und Betriebssystemen ausgetauscht werden müssen. Die traditionelle Methode besteht darin, Datendateien zum Austausch in Formate wie XML oder CSV zu exportieren, diese Methode ist jedoch normalerweise umständlich und ineffizient. Heute stellen wir Ihnen eine effizientere Art des Datenaustauschs vor – ALDE-Dateien, und wie Sie ALDE-Dateien für den schnellen Datenaustausch in Linux-Systemen verwenden.
AIDE (Advanced Access Detection Environment) ist ein Dateiintegritätsprüf- und Zugriffserkennungsprogramm.
Funktionen
Der Hauptzweck besteht darin, die Integrität von Dateien zu überprüfen und zu prüfen, welche Dateien auf dem Computer geändert wurden.
AIDE erstellt eine Datenbank basierend auf Regeln für reguläre Ausdrücke, die in der Konfigurationsdatei /etc/aide.conf enthalten sind. Sobald die Datenbank initialisiert ist, kann sie zur Überprüfung der Dateiintegrität verwendet werden. Auch alle üblichen Dateiattribute können auf Inkonsistenzen überprüft werden. Es kann ältere oder neuere Versionen der Datenbank lesen. Die AIDE-Datenbank kann verschiedene Attribute von Dateien speichern, darunter: Berechtigung, Inode-Nummer, Benutzer, Gruppe, Dateigröße, letzte Änderungszeit (mtime) und Erstellungszeit (ctime), letzte Zugriffszeit (atime), erhöhte Größe usw Anzahl der Verbindungen. AIDE kann auch die folgenden Algorithmen verwenden: sha1, md5, rmd160, tiger, um für jede Datei im Chiffretext eine Prüfsumme oder Hash-Nummer zu erstellen.
Diese Datenbank sollte keine Informationen über Dateien speichern, die sich häufig ändern, wie z. B. Protokolldateien, E-Mails, das /proc-Dateisystem, reale Benutzerverzeichnisse und temporäre Verzeichnisse.
Hintergrund
Wenn ein Eindringling in Ihr System eindringt und einen Trojaner einschleust, findet er normalerweise eine Möglichkeit, den Trojaner zu verbergen (zusätzlich zu einigen versteckten Funktionen des Trojaners selbst wird er normalerweise versuchen, Hindernisse für die Überprüfung des Systems einzurichten). Der Benutzer ändert beispielsweise normalerweise ps aux, um den Systemprozess anzuzeigen. Anschließend verwendet der Benutzer wahrscheinlich sein eigenes modifiziertes ps-Programm, um das ps-Programm auf Ihrem System zu verwenden zur Überprüfung auf das laufende Trojaner-Programm. Wenn der Eindringling feststellt, dass der Administrator einen Crontab-Job ausführt, ist es möglich, das Crontab-Programm usw. zu ersetzen. Es ist also ersichtlich, dass es notwendig ist, Systemdateien oder Schlüsseldateien zu überprüfen. Derzeit gibt es zwei häufig verwendete Tools zur Überprüfung der Systemintegrität: Tripwire und AIDE. Ersteres ist eine kommerzielle Software und letzteres ist ein kostenloses, aber leistungsstarkes Tool.
Bedienungsschritte
Installation
[root@CentOS7 ~]# yum -y install aide
Konfigurationsdatei ändern
/etc/aide.conf
/etc/aide.conf Standardpfad der Konfigurationsdatei
/usr/sbin/aide Standardpfad für binäre ausführbare Dateien
/var/lib/aide Standardpfad der Datenbankdatei
/var/log/aide Standard-Protokolldateipfad
Initialisieren Sie die Standard-AIDE-Bibliothek:
`which aide` --init
Nach Durchführung dieses Schritts wird eine Datenbankdatei mit dem Namen „aide.db.new.gz“ unter dem Standarddatenbankpfad /var/lib/aide generiert und alle in /etc/aide.conf definierten Regeln werden darin geschrieben es. in dieser Datenbankdatei.
Erstellen Sie eine Prüfdatenbank (es wird empfohlen, die Datenbank zu initialisieren und an einem sicheren Ort aufzubewahren)
mv /var/lib/aide/aide.db{.new,}.gz
Da aide standardmäßig die in der Datei /etc/aide.conf definierten Regeln aus der Datenbankdatei aide.db.gz liest, um die Dateiintegrität zu erkennen, müssen Sie die initialisierte Bibliotheksdatei umbenennen.
Erkennung
`which aide` --check
Datenbank aktualisieren
`which aide` --update
Nach der Erkennung müssen Sie die Dateidatenbank aktualisieren, andernfalls liest die nächste Erkennung weiterhin die Regeln aus der alten Dateidatenbank, um die Integrität der Datei zu überprüfen. Gleichzeitig müssen Sie die Datenbankdatei umbenennen
AIDE-Standardregeln
# #p: permissions #i: inode: #n: number of links #u: user #g: group #s: size #b: block count #m: mtime #a: atime #c: ctime #S: check for growing size #acl: Access Control Lists #selinux SELinux security context #xattrs: Extended file attributes #md5: md5 checksum #sha1: sha1 checksum #sha256: sha256 checksum #sha512: sha512 checksum #rmd160: rmd160 checksum #tiger: tiger checksum #haval: haval checksum (MHASH only) #gost: gost checksum (MHASH only) #crc32: crc32 checksum (MHASH only) #whirlpool: whirlpool checksum (MHASH only)
AIDE-Regeldefinition und -verwendung
Regeldefinitionsformat: Regelname = spezifische Regel
【Beispiel】:TEST = a+m+c
Regelverwendungsformat: Datei-/Verzeichnisregelname
【Beispiel】:/dir1 TEST
Hinweis: Wenn „!“ vor der Datei oder dem Verzeichnis hinzugefügt wird, bedeutet dies, dass die Erkennung ignoriert wird
AIDE-Regelüberprüfung
Definieren Sie die folgenden Regeln in der Datei /etc/aide.conf. Das Verzeichnis /dir1 ist hier zunächst leer.
TEST = a+c+m
/dir1 TES
Test 1:
Erstellen Sie eine neue Datei file1 in diesem Verzeichnis und schreiben Sie „Hallo Helfer“
[root@CentOS7 ~]# aide --check AIDE, version 0.15.1 ### All files match AIDE database. Looks okay! [root@CentOS7 ~]# echo "hello aide" > /dir1/file1 [root@CentOS7 ~]# aide --check AIDE 0.15.1 found differences between database and filesystem!! Start timestamp: 2019-11-10 19:12:57 Summary: Total number of files: 3 Added files: 1 Removed files: 0 Changed files: 1 --------------------------------------------------- Added files: --------------------------------------------------- added: /dir1/file1 --------------------------------------------------- Changed files: --------------------------------------------------- changed: /dir1 --------------------------------------------------- Detailed information about changes: --------------------------------------------------- Directory: /dir1 Mtime : 2019-11-10 19:12:00 , 2019-11-10 19:12:55 Ctime : 2019-11-10 19:12:00 , 2019-11-10 19:12:55
Die obige Ausgabe zeigt an, dass die Datei file1 zum Verzeichnis /dir1 hinzugefügt wurde und die Ctime- und Mtime-Attribute des Verzeichnisses /dir1 geändert wurden
Test 2:
Ändern Sie den Inhalt der Datei /dir1/file1 von „hello aide“ in „hello world“
[root@CentOS7 ~]# sed -i '/hello/c hello world' /dir1/file1 ; cat /dir1/file1 hello world [root@CentOS7 ~]# aide --check AIDE 0.15.1 found differences between database and filesystem!! Start timestamp: 2019-11-10 19:14:34 Summary: Total number of files: 3 Added files: 1 Removed files: 0 Changed files: 1 --------------------------------------------------- Added files: --------------------------------------------------- added: /dir1/file1 --------------------------------------------------- Changed files: --------------------------------------------------- changed: /dir1 --------------------------------------------------- Detailed information about changes: --------------------------------------------------- Directory: /dir1 Atime : 2019-11-10 19:12:02 , 2019-11-10 19:12:57 Mtime : 2019-11-10 19:12:00 , 2019-11-10 19:14:31 Ctime : 2019-11-10 19:12:00 , 2019-11-10 19:14:31
Zu diesem Zeitpunkt wurden Atime, Mtime und Ctime des Verzeichnisses /dir1 geändert.
Durch die Einleitung dieses Artikels verstehen wir, dass ALDE-Dateien ein sehr effizientes Datenaustauschformat mit Vorteilen wie Flexibilität, Sicherheit und Skalierbarkeit sind. Gleichzeitig ist es auch sehr einfach, ALDE-Dateien für den Datenaustausch in Linux-Systemen zu verwenden. Sie müssen lediglich das entsprechende ALDE-Paket installieren und die entsprechenden Befehle verwenden. Im Vergleich zu anderen Formaten kann die Verwendung von ALDE-Dateien für den Datenaustausch die Effizienz und Wirkung des Datenaustauschs effektiv verbessern und wird zur Spitzentechnologie des modernen Datenaustauschs.
Das obige ist der detaillierte Inhalt vonSo verwenden Sie ALDE-Dateien für einen effizienten Datenaustausch unter Linux. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!