使用AIDE检查完整性

使用AIDE检查完整性

Advanced Intrusion Detection Environment（AIDE）是一种实用程序，可在系统上创建文件数据库，然后使用该数据库来确保文件完整性并检测系统入侵。

1。安装AIDE

要安装助手包，请输入以下命令root：

~]# yum install aide

要生成初始数据库，请输入以下命令root：

~]# aide --init

 

AIDE, version 0.15.1

 

### AIDE database at /var/lib/aide/aide.db.new.gz initialized.

注意

在默认配置中，该aide --init命令仅检查文件中定义的一组目录和/etc/aide.conf文件。要在AIDE数据库中包括其他目录或文件，并更改其监视的参数，请进行相应的编辑/etc/aide.conf。

要开始使用数据库，请.new从初始数据库文件名中删除子字符串：

~]# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

要更改AIDE数据库的位置，请编辑/etc/aide.conf文件并修改DBDIR值。为了提高安全性，请将数据库，配置和/usr/sbin/aide二进制文件存储在安全的位置，例如只读媒体。

重要

为了避免在AIDE数据库位置更改后拒绝SELinux，请相应地更新SELinux策略。有关更多信息，请参见《SELinux用户和管理员指南》。

2。执行完整性检查

要启动手动检查，请输入以下命令root：

~]# aide --check

AIDE 0.15.1 found differences between database and filesystem!!

Start timestamp: 2017-03-30 14:12:56

 

Summary:

  Total number of files:  147173

  Added files:                    1

  Removed files:              0

  Changed files:               2

...

至少应将AIDE配置为每周运行一次。AIDE最多应每天运行一次。例如，安排每日执行AIDE在上午04时05分使用cron（参见自动化系统任务系统管理员指南中的一章），添加以下行/etc/crontab：

05 4 * * * root /usr/sbin/aide --check

3。更新AIDE数据库

在验证系统更改（例如程序包更新或配置文件调整）之后，请更新基准AIDE数据库：

~]# aide --update

该aide --update命令创建/var/lib/aide/aide.db.new.gz数据库文件。要开始使用它进行完整性检查，请.new从文件名中删除子字符串。