dropbear源码编译安装及AIDE软件监控

ssh协议的另一个实现：dropbear
源码编译安装：
• 1、安装开发包组:yum groupinstall “Development tools”
• 2、下载 -2017.75.tar.bz2     下载到data目录下
• 3、tar xf dropbear-2017.75.tar.bz2
• 4、less INSTALL 查看安装帮助文档

• 5、cd dropbear-2017.75

./configure --prefix=/app/dropbear --sysconfdir=/etc/dropbear
• 6、make PROGRAMS="dropbear dbclient dropbearkey dropbearconvert
scp"
• 7、make PROGRAMS="dropbear dbclient dropbearkey dropbearconvert
scp" install

• 8、完成安装之后新建一个文件：

cd /app/dropbear

mkdir /etc/dropbear   创建放秘钥文件

./dropbearkey  -t rsa -f /etc/dropbear/dropbear_rsa_hosts_keys

• 9、ls /usr/local/bin

存放的当前安装的命令：

dbclient  scp  dropbearkey    dropbearconvert

ls /usr/local/sbin 里边存放的是dropbear命令

dbclient等价于ssh

使用时需要指定软连接才能使用dbclient, ln -s /app/dropbear/bin/dbclient  /usr/bin/dbclient

echo 'PATH=$PATH:/app/dropbear/bin:/app/dropbear/sbin' > /etc/profile.d/dropbear.sh指定PATH环境变量

. /etc/profile.d/dropbear.sh 生效环境变量

示例： dbclient 192.168.34.100 远程连接 等价于ssh 192.168.34.100

dropbear    -EF -p 2222  ---指定端口前台运行

dropbear -p 2222     ---指定端口后台运行

• 10、删除dropbear文件

rm -rf /app/dropbear  删除安装的文件

rm -rf /data/dropbear-2017.*  删除包和解压包

rm -rf /etc/profile.d/dropbear.sh 删除环境变量

AIDE软件监控

当一个入侵者进入了你的系统并且种植了木马，通常会想办法来隐蔽这个木马
（除了木马自身的一些隐蔽特性外，他会尽量给你检查系统的过程设置障碍），
通常入侵者会修改一些文件，比如管理员通常用ps -aux来查看系统进程，那
么入侵者很可能用自己经过修改的ps程序来替换掉你系统上的ps程序，以使用
ps命令查不到正在运行的木马程序。如果入侵者发现管理员正在运行crontab
作业，也有可能替换掉crontab程序等等。所以由此可以看出对于系统文件或
是关键文件的检查是很必要的。目前就系统完整性检查的工具用的比较多的有
两款：Tripwire和AIDE，前者是一款商业软件，后者是一款免费的但功能也很
强大的工具

• AIDE(Advanced Intrusion Detection Environment)

• 高级入侵检测环境)是一个入侵检测工具，主要用途是检查文件的完整性，审计计算机

上的那些文件被更改过了

• AIDE能够构造一个指定文件的数据库，它使用aide.conf作为其配置文件。AIDE数据库

能够保存文件的各种属性，包括：权限(permission)、索引节点序号(inode number)、

所属用户(user)、所属用户组(group)、文件大小、最后修改时间(mtime)、创建时间

(ctime)、最后访问时间(atime)、增加的大小以及连接数。AIDE还能够使用下列算法：

sha1、md5、rmd160、tiger，以密文形式建立每个文件的校验码或散列号

• 这个数据库不应该保存那些经常变动的文件信息，例如：日志文件、邮件、/proc文件

系统、用户起始目录以及临时目录

实验：

安装aide软件：yum install aide

1)vim /etc/aide.conf   修改里边的配置文件，填写自己需要监控的文件，权限属性等信息。

需要监控的属性信息：

填写对应要监控的文件属性：

监控/data/目录下的文件属性，!/data/f1  不监控data下的f1文件：

2)aide --init  生成监控当前文件的数据库。

对应的数据库文件目录在 /var/lib/aide下：aide.db.new.gz

mv aide.bz.new.gz  aide.db.gz  修改成此文件名才能进行对比文件是否被修改。

3)aide  -C 对比当前的文件是否被修改过

chown root f2  将f2 文件的所有者属性改变

然后进行对比：得知当前的文件所有者被修改

[root@centos7data]#aide -C

AIDE 0.15.1 found differences between database and filesystem!!

Start timestamp: 2019-10-25 11:56:47

Summary:

Total number of files:1045

Added files:0

Removed files:0

Changed files:1

---------------------------------------------------

Changed files:

---------------------------------------------------

changed: /data/f2

--------------------------------------------------

Detailed information about changes:

---------------------------------------------------

File: /data/f2

Uid      : 1104                             , 0