一、AIDE的概念 AIDE:Advanced Intrusion Detection Environment,是一款入侵檢測工具,主要用途是檢查文檔的完整性。AIDE在本地構造了一個基準的資料庫,一旦操作系統被入侵,可以通過對比基準資料庫而獲取文件變更記錄,使用aide.conf作為其配置文檔。A ...
一、AIDE的概念
AIDE:Advanced Intrusion Detection Environment,是一款入侵檢測工具,主要用途是檢查文檔的完整性。AIDE在本地構造了一個基準的資料庫,一旦操作系統被入侵,可以通過對比基準資料庫而獲取文件變更記錄,使用aide.conf作為其配置文檔。AIDE資料庫能夠保存文檔的各種屬性,包括:許可權(permission)、索引節點序號(inode number)、所屬用戶(user)、所屬用戶組(group)、文檔大小、最後修改時間(mtime)、創建時間(ctime)、最後訪問時間(atime)、增加的大小連同連接數。AIDE還能夠使用下列演算法:sha1、md5、rmd160、tiger,以密文形式建立每個文檔的校驗碼或散列號。
二、AIDE使用
1.安裝aide yum install aide -y
2.配置文件所在路徑:/etc/aide.conf
3.對AIDE的配置文件進行檢測:aide -D
4.創建一個文件test1.txt
5.根據aide.conf的配置進行初始化資料庫 aide -c /etc/aide.conf -i
6.將新的初始化的資料庫進行重命名
cd /var/lib/aide/
cp aide.db.new.gz aide.db.gz
7.修改剛纔創建的文件
8.運行aide –check 對整個磁碟進行檢查 aide --check 或者aide -C
9.效果如下,可以看到文件修改被檢測出來
10.如果文件修改,對AIDE資料庫進行更新
aide --update 或 aide -u
