dropbear源码编译安装及AIDE软件监控
ssh协议的另一个实现:dropbear
源码编译安装:
• 1、安装开发包组:yum groupinstall “Development tools”
• 2、下载 -2017.75.tar.bz2 下载到data目录下
• 3、tar xf dropbear-2017.75.tar.bz2
• 4、less INSTALL 查看安装帮助文档
• 5、cd dropbear-2017.75
./configure --prefix=/app/dropbear --sysconfdir=/etc/dropbear
• 6、make PROGRAMS="dropbear dbclient dropbearkey dropbearconvert
scp"
• 7、make PROGRAMS="dropbear dbclient dropbearkey dropbearconvert
scp" install
• 8、完成安装之后新建一个文件:
cd /app/dropbear
mkdir /etc/dropbear 创建放秘钥文件
./dropbearkey -t rsa -f /etc/dropbear/dropbear_rsa_hosts_keys
• 9、ls /usr/local/bin
存放的当前安装的命令:
dbclient scp dropbearkey dropbearconvert
ls /usr/local/sbin 里边存放的是dropbear命令
dbclient等价于ssh
使用时需要指定软连接才能使用dbclient, ln -s /app/dropbear/bin/dbclient /usr/bin/dbclient
echo 'PATH=$PATH:/app/dropbear/bin:/app/dropbear/sbin' > /etc/profile.d/dropbear.sh指定PATH环境变量
. /etc/profile.d/dropbear.sh 生效环境变量
示例: dbclient 192.168.34.100 远程连接 等价于ssh 192.168.34.100
dropbear -EF -p 2222 ---指定端口前台运行
dropbear -p 2222 ---指定端口后台运行
• 10、删除dropbear文件
rm -rf /app/dropbear 删除安装的文件
rm -rf /data/dropbear-2017.* 删除包和解压包
rm -rf /etc/profile.d/dropbear.sh 删除环境变量
AIDE软件监控
当一个入侵者进入了你的系统并且种植了木马,通常会想办法来隐蔽这个木马
(除了木马自身的一些隐蔽特性外,他会尽量给你检查系统的过程设置障碍),
通常入侵者会修改一些文件,比如管理员通常用ps -aux来查看系统进程,那
么入侵者很可能用自己经过修改的ps程序来替换掉你系统上的ps程序,以使用
ps命令查不到正在运行的木马程序。如果入侵者发现管理员正在运行crontab
作业,也有可能替换掉crontab程序等等。所以由此可以看出对于系统文件或
是关键文件的检查是很必要的。目前就系统完整性检查的工具用的比较多的有
两款:Tripwire和AIDE,前者是一款商业软件,后者是一款免费的但功能也很
强大的工具
• AIDE(Advanced Intrusion Detection Environment)
• 高级入侵检测环境)是一个入侵检测工具,主要用途是检查文件的完整性,审计计算机
上的那些文件被更改过了
• AIDE能够构造一个指定文件的数据库,它使用aide.conf作为其配置文件。AIDE数据库
能够保存文件的各种属性,包括:权限(permission)、索引节点序号(inode number)、
所属用户(user)、所属用户组(group)、文件大小、最后修改时间(mtime)、创建时间
(ctime)、最后访问时间(atime)、增加的大小以及连接数。AIDE还能够使用下列算法:
sha1、md5、rmd160、tiger,以密文形式建立每个文件的校验码或散列号
• 这个数据库不应该保存那些经常变动的文件信息,例如:日志文件、邮件、/proc文件
系统、用户起始目录以及临时目录
实验:
安装aide软件:yum install aide
1)vim /etc/aide.conf 修改里边的配置文件,填写自己需要监控的文件,权限属性等信息。
需要监控的属性信息:
填写对应要监控的文件属性:
监控/data/目录下的文件属性,!/data/f1 不监控data下的f1文件:
2)aide --init 生成监控当前文件的数据库。
对应的数据库文件目录在 /var/lib/aide下:aide.db.new.gz
mv aide.bz.new.gz aide.db.gz 修改成此文件名才能进行对比文件是否被修改。
3)aide -C 对比当前的文件是否被修改过
chown root f2 将f2 文件的所有者属性改变
然后进行对比:得知当前的文件所有者被修改
[root@centos7data]#aide -C
AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2019-10-25 11:56:47
Summary:
Total number of files:1045
Added files:0
Removed files:0
Changed files:1
---------------------------------------------------
Changed files:
---------------------------------------------------
changed: /data/f2
--------------------------------------------------
Detailed information about changes:
---------------------------------------------------
File: /data/f2
Uid : 1104 , 0
dropbear源码编译安装及AIDE软件监控的更多相关文章
- CentOS7下常用安装服务软件源码编译安装方式的介绍
简介:介绍源码编译安装软件包的管理 源码安装优点:编译安装过程,可以设定参数,指定安装目录,按照需求进行安装,指定安装的版本,灵活性比较大. 源码安装的缺点:需要对依赖包一个一个的进行安装,不敢随便升 ...
- 烂泥:mysql5.5数据库cmake源码编译安装
本文由秀依林枫提供友情赞助,首发于烂泥行天下. 以前也写过一篇有关mysql5.0源码编译的文章,该文章为<烂泥:mysql5.0数据库源码编译安装>.但是MySQL自5.5版本以后,就开 ...
- Linux环境PostgreSQL源码编译安装
Linux环境PostgreSQL源码编译安装 Linux版本: Red Hat 6.4 PostgreSQL版本: postgresql-9.3.2.tar.gz 数据存放目录: /var/post ...
- 总结源码编译安装mysql
最近在学习源码编译安装LAMP.LNMP时,一直遇到一个难题,就是就是mysql无论怎么源码编译安装,到最后启动服务都提示"Starting MySQL.The server quit wi ...
- Linux下源码编译安装rpy2
R(又称R语言)是一款开源的跨平台的数值统计和数值图形化展现工具.rpy2是Python直接调用R的第三方库,它可以实现使用python读取R的对象.调用R的方法以及Python与R数据结构转换等.这 ...
- Ubuntu 17.04版本下,opencv进行源码编译安装
本文主要针对Ubuntu 17.04版本下,opencv进行源码编译安装.开发环境主要针对python 对 openCV库的调用. 安装 gcc cmake 编译环境 sudo apt-get ins ...
- Linux系统 - 源码编译安装Nginx
什么是Nginx? Nginx ("engine x") 是一个高性能的 HTTP 和 反向代理 服务器,也是一个 IMAP/POP3/SMTP 代理服务器,在高连接并发的情况下N ...
- 源码编译安装MySQL8.0
源码编译安装MySQL8.0 0.前期准备条件 查看linux的版本 [root@mysql etc]# cat /etc/redhat-release CentOS Linux release 7. ...
- 保姆级教程——Ubuntu16.04 Server下深度学习环境搭建:安装CUDA8.0,cuDNN6.0,Bazel0.5.4,源码编译安装TensorFlow1.4.0(GPU版)
写在前面 本文叙述了在Ubuntu16.04 Server下安装CUDA8.0,cuDNN6.0以及源码编译安装TensorFlow1.4.0(GPU版)的亲身经历,包括遇到的问题及解决办法,也有一些 ...
随机推荐
- 消息队列之ActiveMQ学习笔记(一、下载及安装)
1.访问官网地址 http://activemq.apache.org/ ,进入Download 2.选择最新版本 3.或者选择历史版本 4.下载解压后 5.然后再 bin目录下选择对应版本,双击 ...
- mysql/mariadb数据库在插入表数据时,ID竟然成奇数增加了?看完下面内容就知道怎么处理了。
今天突然被问到一个问题,mysql数据库插入表数据时,设置了ID自增,但是插入数据后,ID却呈奇数增加,不是123456类型,而是13579形式,突然有点懵,研究了一会,发现是auto_increme ...
- exchange 2010入门到精通
exchange 2010入门到精通 Exchange产品介绍和功能演示 Exchange是什么 目前最受欢迎企业级邮件服务器产品 市场占有率70%(2011数据) 微软消息协作平台中核心产品 Exc ...
- pytest.mark.parametrize()参数化应用二,读取json文件
class TestEnorll(): def get_data(self): """ 读取json文件 :return: """ data ...
- TP5 生成数据库字段 和 路由 缓存来提升性能
关于使用tp5框架如何提升部分性能,框架中很多影响性能的问题在于,很多请求都要重新加载,如果能避免过度加载的问题,就能提升部分性能,所以我们通过缓存来实现这一功能,具体如下. 首先说明 如果是linu ...
- oracle 的安装 及环境的配置...
前言 最近这段时间和香港同事一起做项目 负责给日本客户做一个产品 使用的是Oracle 数据库 在一开始项目启动时一直报和oracle数据库有关 本机在这之前就已经安装好了 由于使 ...
- 【转】转载一篇优质的讲解epoll模型的文章
从事服务端开发,少不了要接触网络编程.Epoll 作为 Linux 下高性能网络服务器的必备技术至关重要,Nginx.Redis.Skynet 和大部分游戏服务器都使用到这一多路复用技术. Epoll ...
- FTP服务器搭建基础工具:Serv-U 14.0.2使用教程
安装教程 1.在本站下载好压缩包,将文件解压,双击运行“ServUSetup官方原版程序.exe”程序,弹出语言选择框,选择“中文(简体)”,点击“确定”开始安装 2.点击“下一步”进行安装 ...
- mui ajax提交问题点
<script type="text/javascript" charset="utf-8"> mui.init(); mui.ajax(__tes ...
- 什么是 redis 的雪崩、穿透和击穿?
缓存雪崩 对于系统 A,假设每天高峰期每秒 5000 个请求,本来缓存在高峰期可以扛住每秒 4000 个请求,但是缓存机器意外发生了全盘宕机.缓存挂了,此时 1 秒 5000 个请求全部落数据库,数据 ...