一、AIDE:AIDE(Advanced Intrusion Detection Environment,高级入侵检测环境)是个入侵检测工具,主要用途是检查文档的完整性。AIDE能够构造一个指定文档的数据库,他使用aide.conf作为其配置文档。AIDE数据库能够保存文档的各种属性,包括:权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文档大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小连同连接数。AIDE还能够使用下列算法:sha1、md5、rmd160、tiger,以密文形式建立每个文档的校验码或散列号。(以上摘选至百度百科)
二、安装部署
1.装包
[root@lxy ~]# yum -y install aide //一般的软件库都有
2.修改配置文件
配置文件:/etc/aide.conf
@@define DBDIR /var/lib/aide //校验后数据库存放位置
@@define LOGDIR /var/log/aide //软件日志目录
database=file:@@{DBDIR}/aide.db.gz //检校时参考的数据库文件名
database_out=file:@@{DBDIR}/aide.db.new.gz //校验结果数据库文件名称
//需要校验检测的文件属性项目
#p: permissions //文件权限
#i: inode: //文件i节点
#n: number of links //文件链接数
#u: user //文件所属用户
#g: group //文件所属组
#s: size //文件大小
#md5: md5 checksum //文件md5 值
#sha1: sha1 checksum //文件sha1值
#sha256: sha256 checksum //文件哈希值
DATAONLY = p+n+u+g+s+acl+selinux+xattrs+sha256 //把上面需要的校验的项目组成一个组,并且可以同时拥有更多的组
/root DATAONLY //对需要校验的目录校验,并使用什么校验组
#!/usr/src //可以!,设置不校验的目录
三、使用
1.先初始化数据库,因为aide是根据对比数据库中的内容进行校验
aide –init //先生成初始化数据库,以后面对比校验
mv aide.db.new.gz aide.db.gz //默认生成数据库为aide.db.new.gz,改名为aide.db.gz,后面aide默认对照数据库名为aide.db.gz
2.修改文件
echo 1 > /root/a.txt
3.入侵检测
aide –check //检测入侵,默认输出内容为屏幕
–report=file:文件输出位置 //可以添加选项输出到文件
4.更新数据库内容
aide –update
mv aide.db.new.gz aide.db.gz
未经允许不得转载:天府数据港官方信息博客 » Linux之AIDE入侵检测
客官点个赞呗! (0)
天府数据港官方信息博客