美文网首页
AIDE检测比对工具

AIDE检测比对工具

作者: Simon_Ye | 来源:发表于2020-03-12 12:44 被阅读0次

    AIDE(Advanced Intrusion Detection Environment)

    • (高级入侵检测环境)是一个入侵检测工具,主要用途是检查文件的完整性,审计计算机上的哪些文件被更改过了
    • AIDE能够构造一个指定文件的数据库,它使用/etc/aide.conf作为其配置文件。AIDE数据库能够保存文件的各种属性,包括:权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文件大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小以及连接数。AIDE还能够使用下列算法:sha1、md5、rmd160、tiger,以密文形式建立每个文件的校验码或散列号
    • 这个数据库不应该保存那些进程变动的文件信息,例如:日志文件、邮件、/proc文件系统、用户起始目录以及临时目录

    AIDE安装

    ~]# yum install aide

    修改配置文件/etc/aide.conf

    指定对哪些文件进行检测
    /test/chameleon R
    /bin/ps R+a
    /usr/bin/crontab R+a
    /etc PERMS
    !/etc/mtab:"!" 表示忽略这个文件的检查
    R=p+i+n+u+g+s+m+c+md5:权限+索引节点+链接数+用户+组+大小+最后一次修改时间+创建时间+md5校验值
    NORMAL = R+rmd60+sha256

    初始化默认的AIDE的库

    ~]# /usr/local/bin/aide --init

    生成检查数据库(建议初始数据库存放到安全的地方)

    ~]# cd /var/lib/aide
    ~]# mv aide.db.new.gz aide.db.gz

    检测:

    ~]# /usr/local/bin/aide --check

    更新数据库

    ~]# aide --update

    相关文章

      网友评论

          本文标题:AIDE检测比对工具

          本文链接:https://www.haomeiwen.com/subject/qihujhtx.html