AIDE(Advanced Intrusion Detection Environment,高级入侵检测环境)是个入侵检测工具,主要用途是检查文档的完整性。
AIDE能够构造一个指定文档的数据库,他使用aide.conf作为其配置文档。AIDE数据库能够保存文档的各种属性,包括:权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文档大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小连同连接数。AIDE还能够使用下列算法:sha1、md5、rmd160、tiger,以密文形式建立每个文档的校验码或散列号。
实验目的:
Aide通过检查数据文件的权限、时间、大小、哈希值等,校验数据的完整性。
使用Aide需要在数据没有被破坏前,对数据完成初始化校验,生成校验数据库文件,在被攻击后,可以使用数据库文件,快速定位被人篡改的文件。
步骤
实现此案例需要按照如下步骤进行。
步骤一:部署AIDE入侵检测系统
1)安装软件包
[root@proxy ~]# yum -y install aide
2) 修改配置文件
确定对哪些数据进行校验,如何校验数据
[root@proxy ~]# vim /etc/aide.conf
@@define DBDIR /var/lib/aide //数据库目录