AIDE(Advanced Intrusion Detection Environment)
- (高级入侵检测环境)是一个入侵检测工具,主要用途是检查文件的完整性,审计计算机上的哪些文件被更改过了
- AIDE能够构造一个指定文件的数据库,它使用
/etc/aide.conf
作为其配置文件。AIDE数据库能够保存文件的各种属性,包括:权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文件大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小以及连接数。AIDE还能够使用下列算法:sha1、md5、rmd160、tiger,以密文形式建立每个文件的校验码或散列号 - 这个数据库不应该保存那些进程变动的文件信息,例如:日志文件、邮件、/proc文件系统、用户起始目录以及临时目录
AIDE安装
~]# yum install aide
修改配置文件/etc/aide.conf
指定对哪些文件进行检测
/test/chameleon R
/bin/ps R+a
/usr/bin/crontab R+a
/etc PERMS
!/etc/mtab
:"!" 表示忽略这个文件的检查
R=p+i+n+u+g+s+m+c+md5
:权限+索引节点+链接数+用户+组+大小+最后一次修改时间+创建时间+md5校验值
NORMAL = R+rmd60+sha256
初始化默认的AIDE的库
~]# /usr/local/bin/aide --init
生成检查数据库(建议初始数据库存放到安全的地方)
~]# cd /var/lib/aide
~]# mv aide.db.new.gz aide.db.gz
检测:
~]# /usr/local/bin/aide --check
更新数据库
~]# aide --update
网友评论