AIDE:Advanced Intrusion Detection Environment,高级入侵检测环境
功能:是目前unix下著名的文件系统完整性检查工具,采用的技术核心是对每个要监控的文件提前产生一个数字签名并保存在系统中,当文件当前数字签名与保留的数字签名不一致时,那么说明我们检测的文件已经发生了改动。
1)安装AIDE:yum install aide -y
2)配置文件所在路径:/etc/aide.conf
3)对AIDE的配置文件进行检测:aide -D
4)AIDE权限说明:
5)AIDE的每个检测权限都是由若干的权限组成,其组成的权限:
p :权限 g :用户组
i :i节点(索引节点) n :连接数量
u :用户 s :大小
m :最后一次修改时间 a :最后一次访问时间
c :创建时间
S :检查增加的大小
l :链接名
b :块计算
I :忽略改变的文件
注:因此AIDE的检测权限为
R :p+i+n+u+g+s+m+c+md5
L :p+i+n+u+g
6)校验技术
sha1 : sha1校验
sha256: sha256校验
sha512: sha512校验
md5 : md5校验
crc32 : crc32校验
rmd160: rmd160校验
tiger : tiger校验
haval : haval校验
7)根据aide.conf的配置初始化数据库
aide -c /etc/aide.conf -i
8)将新的初始化的数据库进行使用
cd /var/lib/aide
cp aide.db.new.gz aide.db.gz
9)对系统进行检测
aide --check 或 aide –C
10)如果文件修改,对AIDE数据库更新
aide --update 或 aide –u