AIDE

-

AIDE 是稽核LINUX 上系統異動的情況,包含權限異動也都可以查到。

最後修改日期:2014/2/20

基本使用:

1. 首次使用時輸入 aide --init
輸出的資料檔為:/var/lib/aide/,記得要換名稱、否則日後比對時會找不到基準到。

# aide --check
 
AIDE found differences between database and filesystem!!
Start timestamp: 2014-01-05 08:03:47
 
Summary:
  Total number of files:        39240
  Added files:                  0
  Removed files:                0
  Changed files:                20
 
---------------------------------------------------
Changed files:
---------------------------------------------------
 
changed: /usr/sbin
changed: /usr/libexec
changed: /usr/libexec/gcc/x86_64-redhat-linux/4.4.4
changed: /usr/libexec/getconf
changed: /usr/libexec/polkit-1
changed: /usr/libexec/utempter
changed: /usr/libexec/awk
changed: /usr/bin
changed: /usr/lib64
changed: /usr/lib64/pm-utils/bin
changed: /usr/lib64/nss/unsupported-tools
changed: /usr/lib64/sa
changed: /usr/lib64/perl5/CORE
changed: /root
changed: /root/.viminfo
changed: /lib/udev
changed: /bin
changed: /lib64
changed: /lib64/dbus-1
changed: /sbin
 
--------------------------------------------------
Detailed information about changes:
---------------------------------------------------
 
Directory: /usr/sbin
  Mtime    : 2014-01-05 08:00:49              , 2014-01-05 08:01:20
  Ctime    : 2014-01-05 08:00:49              , 2014-01-05 08:01:20
 
Directory: /usr/libexec
  Mtime    : 2014-01-05 08:00:49              , 2014-01-05 08:01:21
  Ctime    : 2014-01-05 08:00:49              , 2014-01-05 08:01:21
 
Directory: /usr/libexec/gcc/x86_64-redhat-linux/4.4.4
  Mtime    : 2014-01-05 08:00:49              , 2014-01-05 08:01:21
  Ctime    : 2014-01-05 08:00:49              , 2014-01-05 08:01:21
 
Directory: /usr/libexec/getconf
  Mtime    : 2014-01-05 08:00:49              , 2014-01-05 08:01:21
  Ctime    : 2014-01-05 08:00:49              , 2014-01-05 08:01:21
 
Directory: /usr/libexec/polkit-1
  Mtime    : 2014-01-05 08:00:50              , 2014-01-05 08:01:21
  Ctime    : 2014-01-05 08:00:50              , 2014-01-05 08:01:21
 
Directory: /usr/libexec/utempter
  Mtime    : 2014-01-05 08:00:50              , 2014-01-05 08:01:21
  Ctime    : 2014-01-05 08:00:50              , 2014-01-05 08:01:21
 
Directory: /usr/libexec/awk
  Mtime    : 2014-01-05 08:00:50              , 2014-01-05 08:01:21
  Ctime    : 2014-01-05 08:00:50              , 2014-01-05 08:01:21
 
Directory: /usr/bin
  Mtime    : 2014-01-05 08:00:57              , 2014-01-05 08:01:29
  Ctime    : 2014-01-05 08:00:57              , 2014-01-05 08:01:29
 
Directory: /usr/lib64
  Mtime    : 2014-01-05 08:01:09              , 2014-01-05 08:01:42
  Ctime    : 2014-01-05 08:01:09              , 2014-01-05 08:01:42
 
Directory: /usr/lib64/pm-utils/bin
  Mtime    : 2014-01-05 08:01:09              , 2014-01-05 08:01:42
  Ctime    : 2014-01-05 08:01:09              , 2014-01-05 08:01:42
 
Directory: /usr/lib64/nss/unsupported-tools
  Mtime    : 2014-01-05 08:01:09              , 2014-01-05 08:01:42
  Ctime    : 2014-01-05 08:01:09              , 2014-01-05 08:01:42
 
Directory: /usr/lib64/sa
  Mtime    : 2014-01-05 08:01:10              , 2014-01-05 08:01:43
  Ctime    : 2014-01-05 08:01:10              , 2014-01-05 08:01:43
 
Directory: /usr/lib64/perl5/CORE
  Mtime    : 2014-01-05 08:01:10              , 2014-01-05 08:01:44
  Ctime    : 2014-01-05 08:01:10              , 2014-01-05 08:01:44
 
Directory: /root
  Mtime    : 2014-01-05 07:59:25              , 2014-01-05 08:03:45
  Ctime    : 2014-01-05 07:59:25              , 2014-01-05 08:03:45
 
File: /root/.viminfo
  Inode    : 267392                           , 267393
 
Directory: /lib/udev
  Mtime    : 2014-01-05 08:01:14              , 2014-01-05 08:01:48
  Ctime    : 2014-01-05 08:01:14              , 2014-01-05 08:01:48
 
Directory: /bin
  Mtime    : 2014-01-05 08:01:15              , 2014-01-05 08:01:49
  Ctime    : 2014-01-05 08:01:15              , 2014-01-05 08:01:49
 
Directory: /lib64
  Mtime    : 2014-01-05 08:01:16              , 2014-01-05 08:01:50
  Ctime    : 2014-01-05 08:01:16              , 2014-01-05 08:01:50
 
Directory: /lib64/dbus-1
  Mtime    : 2014-01-05 08:01:16              , 2014-01-05 08:01:50
  Ctime    : 2014-01-05 08:01:16              , 2014-01-05 08:01:50
 
Directory: /sbin
  Mtime    : 2014-01-05 08:01:18              , 2014-01-05 08:01:52
  Ctime    : 2014-01-05 08:01:18              , 2014-01-05 08:01:52

預設情況下,每次比對都會把一些正常的東西給列出來如下:

這是因為prelink 的關係,請參考:這裡修改即可。
1. vi /etc/sysconfig/prelink 把PRELINK=yes 改成PRELINK=no
2. 以root 身份運行 /etc/cron.daily/prelink

後面就會正常了。

留言

張貼留言

這個網誌中的熱門文章

ISO 27001 上課和考試心得

-
最近看到書架上那厚厚一本27001 的講義,心血來潮決定把一些準備考試的訣竅給分享出來。 其實我在開始上課前,都還搞不太懂:27001, 27002, 17799, 7799, 7799-1, 7799-2 有什麼差別?一直到了開始上課後,蒲樹盛先生講解了才明瞭。所以也不用急著在上課前就要把那些東西的歷史、來龍去脈給搞的一清二楚,老師會很熱心的先講解,好讓我們可以進入狀況的:) 那些東西因為已經有很多前輩分享過了,我再寫一次也不會比較好。所以在此就只針對上課和準備考試這二塊來分享一下。 其實考試要通過並不難,重點只在於每一個條文的著眼點是什麼,要能夠很清楚。我覺得難的是在這麼短的期間內就要完全的吸收。 一個著眼點是今天學的東西不只是要通過考試,更是為了日後稽核時的一種訓練 -- 所以,有問題就問吧! 我上課的時候,我是裡面年紀最小的,有不懂或是覺得不清楚、模零兩可的地方都很主動地去問老師以及討論。透過這樣反覆不斷的正反驗證,一方面可以讓觀念更清楚,另一方面也可以讓印象更清析。會提這點是因為有些同學可能年紀什麼都比較大了也有些地位,反而不好意思跟老師討論而關門造車。 在這裡希望大家都能熱心學習,畢竟我們以前當學生不也是這樣嗎?如果還在學的階段就對條文和一些精神有過多主觀投射的話,我覺得日後在實際運用和稽核時必定會有負面的影響。 更何況如果我們都真的會了的話又何必去上課呢?:)反正不懂問了就好啦! 像我印象比較深的是:稽核時,能不能對控制方法質疑?因為一直聽到說要檢查什麼和檢查的精神是什麼?卻從來沒聽到過、與不過的標準為何?上完課下來,會產生:似乎有做就算過關的印象。後來和老師討論的結果是稽核員不能對控製的手法提出疑義,所以也不能去定義手法和計量的標準。 其實我理解稽核員的立場必須是超然且中立的,所以我也不應該會有類似的疑惑。但是我真的好奇的是:如果受稽核方採取的是無效的措施時該怎麼辦? 真的因為有措施且有實施,就能表示措施是有效的嗎? 我覺得這個問題,不只是將要或是有志成為稽核員的我們可以思考。 所有的IT人員,都應該思考和擴展這個議題。 然後每天回家都一定要會看書,這個我覺得很重要而且很有效。千萬不要因為可以open book 就不看書了 -.-" 其實並不用把每個控制目標給背起來,只要能知道適用情境就可以了。因為我覺得那才是重點 ^_^ 我大概一天看個一
閱讀完整內容

MIS 的工作心得

-
自我退伍已經三年多了,除去剛退伍的四個月外 都從事資訊方面的工作。 雖然時間不長,但是頗有感慨。 在第一個工作時,我最大的收獲是在什麼樣的職位,就要有什麼樣的裝扮--這對長久以來,一直視自我打扮為梢枝未節的我 有很大的影響。 第二個工作讓我見識到了何謂「人的影響」,只要搏得主管信任,就可以為所欲為。 第三個工作讓我從旁學習到 主管 這類角色該有的作為。 第四個工作,讓我有了考驗自已在小企業中進行整體IT規劃能力的機會,可惜的是企業流程這塊還沒有碰到就離開了。(第一次遇到拿薪資來騙人的公司) 自已也很清楚,我在資訊方面的專業技能還差的遠,一直認為自已還算小小咖的IT人員。 但是很不幸的,這個領域中有一種人叫做「嘴炮工程師」。 我也很清楚,有些時候說某些話是不得已的。 但是不少人往往是從頭到尾的胡謅一番毫不負責。 一直到我第二份工作要走人了,我才知道如此應對這種人。 而在第四份工作中實戰演練... 我的感想是:有些時候,就是要擺明自已很行!我很強!XXX不算什麼!--大部份時間都不用證明,也只要出一張嘴。這時候,「人」才會相信你的能力,非得要裝腔作勢一番。讓人家看到你多行,而非從實際做為去觀察。 但是我一直都很清楚,自已算不上那根蔥卻還要這樣擺出自已很行的樣子。 這跟我的本性大相逕庭,但工作上卻不得不如此 其實心裡天人交戰 -- 我並不喜歡那樣子跟人談話的。 我從我大學學長身上學到,做事要有科學精神。所以我一直相信,凡事都有其可能性。於是,當人說了什麼訊息時,我都抱著「可能是我不知道」而思索、虛心學習和觀察。由於工作的前二年、學業上沒有壓力,平日也不斷學習所以這使得我當時不斷進步和成長。 但是後來我發現了這種態度在面對所謂的嘴炮工程師時,是不行的。最主要的原因是在職場上,老闆、同仁看到時只會覺得XXX蠻行的 你就還有得學。於是我在確定某某人在只是出一張嘴時,只得擺出上述的姿態來確保某些工作能正常進行。當然我知道要尊敬每個人的專業領域,在非我能力所及之處 當然不會過問,但很不幸的是,打嘴炮的人大都不懂這種道理,尤其當他不用負責處理時更是猖狂。 其實這感慨在心裡頭已經很久了,只是目前公司正導入SAP系統,驚覺顧問又是這種人 一時有感而發。 很可惜的是整個SAP B1的導入,是在我進公司前二個月老闆在聽了那位顧問一席話之後就開
閱讀完整內容

神奇的伺服器重開

-
今天在公司討論ADSL不穩的狀況,提了一個樓下搞無線的公司有沒有可能是禍首的疑惑。 其實在國外是有案例的哦! 為了怕我以後年老就忘了,也想說分享一下 所以就PO在這裡囉~ 當事人是一個系統管理員(以下簡稱SA),公司規模我不知道;但是根據:有獨立機房、冷氣系統,以及有一些週邊的管理"設備"(我忘了是些什麼) 可以得知這個機房是相當專業且完善的(記得還有防emp的屏障)。 當事人在分析報表後發現:機房裡的機器在每天午夜二點時都會重開a! 這就他很感到疑惑;該時間點並沒有進行系統排程也沒有更新--為什麼會重開? 如果有排程或更新上的issue導致重開,是可以理解的,但並沒有啊? 於是這位SA很盡職的查了所有的硬體與電力設備,發現一切正常。 又去查大樓的電力記錄,也是正常。 查了是否有入侵跡象--一切還是正常!! 那真是見鬼了!到底為什麼會重開機?? 身為我們IT人員的典範,這位仁兄於是午夜加班一直待在公司,想知道到底發生了什麼事? 於是他真的發現了A!! 在該時間,對面樓下有一個警車會停留在那邊。 然後就這樣走了~ 同一個時間,伺服器又重開了… (我記得是待了幾天後才發現的…) 在詢問之後發現,警局在排班巡邏路線時排定午夜二點,當員警巡經該處時,有跟中心進行狀況回報。 而警用的高頻無線電訊號的正好會讓伺服器接受到某個訊號,而使得機器重新啟動... 在協調過後,已經解決了這個現象。 於是留下了這個經典的故事。 是什麼元件接受到什麼樣的訊號使得機器重啟,我已經不太記得了 (畢竟這篇文章是我約十年前讀的,我也不是相關專業) 但是,我相信這篇小故事絕對會給還沒有看過的IT一個很大的震撼! 是的…就是有這麼鳥的事。 而且我相信沒有多少人會像這位仁兄一樣,只會放任它繼續當下去…(如果是我的話,八成也是如此吧…) 這是從一本講資安的書中看來的,原出處我不記得了。 希望這麼經典的事件,能繼續傳流下去~
閱讀完整內容