一、AIDE的概念
AIDE:Advanced Intrusion Detection Environment,是一款入侵检测工具,主要用途是检查文档的完整性。AIDE在本地构造了一个基准的数据库,一旦操作系统被入侵,可以通过对比基准数据库而获取文件变更记录,使用aide.conf作为其配置文档。AIDE数据库能够保存文档的各种属性,包括:权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文档大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小连同连接数。
一旦出现AIDE监控的文件被篡改的情况,AIDE会触发告警,通知管理员。
AIDE还能够使用下列算法:sha1、md5、rmd160、tiger,以密文形式建立每个文档的校验码或散列号。
二、AIDE使用
1.安装aide
yum install aide -y
2.配置文件所在路径:/etc/aide.conf
3.对AIDE的配置文件进行检测:aide -D
4.生成出初化数据库 ,初始化的时间会比较长,耐心等待下
[root@dn3 data]# aide -i AIDE, version 0.15.1 ### AIDE database at /var/lib/aide/aide.db.new.gz initialized.
5.根据/etc/aide.conf生成的/var/lib/aide/aide.db.new.gz文件需要重命名
为/var/lib/aide/aide.db.gz,以便让AIDE能读取它
[root@dn3 data]# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz