1.部署AIDE

yum -y install aide

2.修改配置文件

vim /etc/aide.conf
... ...
//一下内容为可以检查的项目（权限，用户，组，大小，哈希值等）
#p:      permissions
#i:      inode:
#n:      number of links
#u:      user
#g:      group
#s:      size
#md5:    md5 checksum
#sha1:   sha1 checksum
#sha256:        sha256 checksum
DATAONLY =  p+n+u+g+s+acl+selinux+xattrs+sha256
//以下内容设置需要对哪些数据进行入侵校验检查
//注意：为了校验的效率，这里将所有默认的校验目录与文件都注释
//仅保留/root目录，其他目录都注释掉
/root   DATAONLY
#/boot   NORMAL                                    //对哪些目录进行什么校验
#/bin    NORMAL
#/sbin   NORMAL
#/lib    NORMAL
#/lib64  NORMAL
#/opt    NORMAL
#/usr    NORMAL
#!/usr/src                                        //使用[!]，设置不校验的目录
#!/usr/tmp

3.初始化数据库,提示数据保存的目录

aide --init 

4备份数据库

cp /var/lib/aide/aide.db.new.gz /media/

cd /var/lib/aide/
mv aide.db.new.gz aide.db.gz
aide --check

---

1.nmap扫描获取信息

yum -y install nmap

基本用法：

nmap [扫描类型] [选项] <扫描目标 ...>

//常用的扫描类型
// -sS，TCP SYN扫描（半开）
// -sT，TCP 连接扫描（全开）
// -sU，UDP扫描
// -sP，ICMP扫描
// -A，目标系统全面分析

nmap -sP 192.168.2.100

nmap -n -sP 192.168.2.100

使用-n可以不执行dns解析
2.使用tcpdump抓包
以抓取21端口的vsftpd服务为例

tcpdump -A host 192.168.2.100 and tcp port 21 

监控选项如下：
// -i，指定监控的网络接口（默认监听第一个网卡）
// -A，转换为 ACSII 码，以方便阅读
// -w，将数据包信息保存到指定文件
// -r，从指定文件读取数据包信息
//tcpdump的过滤条件：
// 类型：host、net、port、portrange
// 方向：src、dst
// 协议：tcp、udp、ip、wlan、arp、……
// 多个条件组合：and、or、not

tcpdump -A -w ftp.cap host 192.168.2.100 and tcp port 21