一、AIDE的概念
AIDE:Advanced Intrusion Detection Environment,是一款入侵檢測工具,主要用途是檢查文檔的完整性。AIDE在本地構造了一個基准的數據庫,一旦操作系統被入侵,可以通過對比基准數據庫而獲取文件變更記錄,使用aide.conf作為其配置文檔。AIDE數據庫能夠保存文檔的各種屬性,包括:權限(permission)、索引節點序號(inode number)、所屬用戶(user)、所屬用戶組(group)、文檔大小、最后修改時間(mtime)、創建時間(ctime)、最后訪問時間(atime)、增加的大小連同連接數。AIDE還能夠使用下列算法:sha1、md5、rmd160、tiger,以密文形式建立每個文檔的校驗碼或散列號。
二、AIDE使用
1.安裝aide yum install aide -y
2.配置文件所在路徑:/etc/aide.conf
3.對AIDE的配置文件進行檢測:aide -D
4.創建一個文件test1.txt
5.根據aide.conf的配置進行初始化數據庫 aide -c /etc/aide.conf -i
6.將新的初始化的數據庫進行重命名
cd /var/lib/aide/
cp aide.db.new.gz aide.db.gz
7.修改剛才創建的文件
8.運行aide –check 對整個磁盤進行檢查 aide --check 或者aide -C
9.效果如下,可以看到文件修改被檢測出來
10.如果文件修改,對AIDE數據庫進行更新
aide --update 或 aide -u