AIDE 概述
- AIDE(Advance Intrusion Detection Environment)高级入侵检测环境:是一个入侵检测工具,主要用途是检查文件的完整性,审计计算机上的哪些文件被更改过了
- AIDE能够构造一个指定文件的数据库,它使用aide.conf 作为其配置文件。AIDE数据库能够保存文件的各种属性,包括 :permisstion、inode number、user、group、file size、mtime、ctime、atime、增加的大小以及连接数。AIDE还能够使用下列算法:sha1、md5、rmd160、tiger,以密文形式建立每个文件的校验码或散列号
- 这个数据库不应该保存那些经常变动的文件信息,例如:日志文件、邮件、/proc文件系统、用户起始目录以及临时 目录
AIDE 配置
yum install aide -y
vim /etc/aide.conf
@@define DBDIR /var/lib/aide //定义数据库路径
@@define LOGDIR /var/log/aide
database=file:@@{DBDIR}/aide.db.gz 以前文件的状态
database_out=file:@@{DBDIR}/aide.db.new.gz 现在文件当前的状态
TEST = p+md5+u+g
/data TEST //监控/data目录
!/data/f2 //不监控/data/f2
ll /data
-rw-r--r-- 1 root root 582 Feb 19 18:04 f1
---------- 1 root root 913 Feb 19 18:04 f2
-rw-r--r-- 1 root root 1114 Feb 19 18:04 f3
aide --init //生成样板库 放到/var/lib/aide
chmod 600 /data/f1 /data/f2 改变f1的权限
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
aide --check 检测属性有无变化,发现权限发生了变化
vim /data/f1 在这个文件中加一行空行
aide --check //发现md5值发生了变化
aide --update //认为改的是正确的,重新更新数据库
ll /var/lib/aide/
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
aide --check 就会反现没有变化