AIDE(Adevanced Intrusion Detection Environment)全称高级***检测系统,它的主要原理就是通过一系列算法校验文件属性,来检测文件的完整性.第一次运行的时候它通过扫描文件系统,来构建文件属性数据库.然后它对照该数据库一旦定义被监控的文件属性发生变化时就发出警告.
1.安装AIDE
环境:centos6.4
yum -y install aide
2.第一次运行执行aide --init 初始化数据库
3.根据/etc/aide.conf下面的配置文件,将生成的数据库文件重命名
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
4.删掉/root下面的website.data文件,运行aide测试
rm -rf website.dat
aide
通过结果可以看到,被删文件的详细操作信息
5.更新数据库,在生产环境中我们时常要对文件做各种各样的操作,每次修改后都要更新aide数据库
aide --update
命令帮助上面写的检查和更新aide数据库,实际测试--update这个命令,没有更新数据库而是重新生成了一个aide.db.new.gz的数据库文件
AIDE的配置文件:/etc/aide.conf
指定数据文件目录、日志目录、数据文件名称、产生的新数据文件名称、是否压缩、日志级别
系统定义的几种监控规则,这个可以自己定义
p-权限,i-inode节点,n-链接数量,u-所有者,g-所属组,acl-acl权限,m-修改时间
对目录指定监控规则,!表示忽略子目录或目录中的文件