1、aide的概述
AIDE(Adevanced Intrusion Detection Environment,高级入侵检测环境)是个入侵检测工具,主要用途是检查文本的完整性。
AIDE能够构造一个指定文档的数据库,他使用aide.conf作为其配置文档。AIDE数据库能够保存文档的各种属性,包括:权限 (permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文档大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间 (atime)、增加的大小连同连接数。AIDE还能够使用下列算法:sha1、md5、rmd160、tiger,以密文形式建立每个文档的校验码或散 列号。
2、aide部署
yum -y install aide
3:配置文件
/etc/aide.conf
为了直观
[[email protected] ~]# grep -v ^# /etc/aide.conf |grep -v ^$ > /etc/aide2.conf
[[email protected] ~]# mv /etc/aide2.conf /etc/aide.conf
mv: overwrite `/etc/aide.conf‘? y
4:创建测试目录及测试文件
[[email protected] ~]# mkdir aide_test_check
[[email protected] ~]# cp /etc/hosts* ./aide_test_check/
5:自定义配置文件
@@define DBDIR /var/lib/aide --基准数据库目录
@@define LOGDIR /var/log/aide
database=file:@@{DBDIR}/aide.db.gz --基准数据库文件
database_out=file:@@{DBDIR}/aide.db.new.gz --更新数据库文件
6:初始化数据库:
# /usr/sbin/aide -c /etc/aide.conf --init
AIDE, version 0.14
### AIDE database at /var/lib/aide/aide.db.new.gz initialized.
7: 把初始化的数据库当做基准数据库
# cp /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
8: 测试AIDE能否发现文件更改
# cp /etc/passwd /aide_test_check/
# rm -rf /aide_test_check/hosts
# echo hello > /aide_test_check/hosts.allow
检测文件
# /usr/sbin/aide -c /etc/aide.conf --check
---------------------------------------------------
Added files:
---------------------------------------------------
added: /root/aide_test_check/passwd
---------------------------------------------------
Removed files:
---------------------------------------------------
removed: /root/aide_test_check/hosts
---------------------------------------------------
Changed files:
---------------------------------------------------
changed: /root/aide_test_check
changed: /root/aide_test_check/hosts.allow
9:如果上面的更改合法的操作,需要更新基准数据库
# /usr/sbin/aide -c /etc/aide.conf --update
# cd /var/lib/aide
# cp aide.db.new.gz aide.db.gz
cp: overwrite `aide.db.gz‘? y
10:把报告发往邮箱:
# /usr/sbin/aide -c /etc/aide.conf --check |mail -s "test aide" [email protected]