信息系统安全等级保护基本要求三级中有对文件完整性检查的控制项:应能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施。
检测文件的完整性一般是将文件经过MD5或SHA计算后得到一个校验和,通过比较这个校验和就可以确定文件是否已经被更改。
恢复措施最好的就是将原始的文件备份下来,通过特定的方式恢复到制定的位置。
AIDE(Advanced Intrusion Detection Environment,高级入侵检测环境)就是专门用于检查文件的完整性。
AIDE的安装:
#yum -y install aide #安装aide
#aide --init #初始化aide
#cp -p /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz #copy数据库
#aide --check 执行检查
我安装的aide是0.15.1的版本。
更改一下fstab文件,继续check看看结果:
当然,只这样做还是不够的,黑客估计会把你的AIDE数据库删掉的。再做些权限限制的工作,会更可靠些。