在linux中如何检查一个目录,在Linux中,如何使用"AIDE"检查文件和目录的完整性...

最新推荐文章于 2022-07-17 10:17:02 发布
最新推荐文章于 2022-07-17 10:17:02 发布
阅读量329 收藏
点赞数
文章标签: 在linux中如何检查一个目录

AIDE ( Advanced Intrusion Detection Environment )是一个小型但是功能强大的免费开源入侵检测工具,它使用预定义的规则来检查类Unix操作系统(如Linux )中的文件和目录完整性,它是一个独立的静态二进制文件,用于简化客户端/服务器监视配置。

它功能丰富:使用纯文本配置文件和数据库,易于使用;支持几种消息摘要算法,包括但不限于md,sha,rmd160,tiger;支持通用文件属性;还支持强大的正规表达式,有选择地包含或排除要扫描的文件和目录。

还可以自定义编译它支持Gzip压缩,Posix ACL,SELinux,XAttrs和扩展文件系统属性。

本指南将展示如何在Linux中安装和使用aide。

在Linux,如何安装AIDE

Aide打包在主流Linux发行版的官方存储库中,要安装它,请使用程序包管理器运行命令。# apt install aide [On Debian/Ubuntu]

# yum install aide [On RHEL/CentOS]

# dnf install aide [On Fedora 22+]

# zypper install aide [On openSUSE]

# emerge aide [On Gentoo]

安装后,主配置文件为/etc/aide.conf,要查看已安装的版本和编译时参数,请在终端上运行以下命令:# aide -v例子输出Aide 0.14

Compiled with the following options:

WITH_MMAP

WITH_POSIX_ACL

WITH_SELINUX

WITH_PRELINK

WITH_XATTR

WITH_LSTAT64

WITH_READDIR64

WITH_ZLIB

WITH_GCRYPT

WITH_AUDIT

CONFIG_FILE ="/etc/aide.conf"

可以使用你喜欢的编辑器打开配置。# vi /etc/aide.conf

它有定义数据库位置、报表位置、默认规则、要包含在数据库中的目录/文件的指令。

除了默认规则,还可以在aide.conf文件中定义新的自定义规则,例如,PERMS =p+u+g+acl+selinux+xattrs

PERMS规则仅用于访问控制,它基于文件/目录权限、用户、组、访问控制权限、 SELinux上下文和文件属性检测对文件或目录的更改。

这将只检查文件内容和文件类型。CONTENT =sha256+ftype

这是先前规则的扩展版本,它检查扩展内容,文件类型和访问。CONTENT_EX = sha256+ftype+p+u+g+n+acl+selinux+xattrs

下面的DATAONLY规则将有助于检测所有文件/目录中数据的更改。DATAONLY = p+n+u+g+s+acl+selinux+xattrs+sha256

定义监视文件和目录的规则

定义了规则之后,就可以指定要监视的文件和目录,考虑上面的PERMS规则,这个定义将检查root目录中所有文件的权限。/root/..* PERMS

这将检查/root目录中的所有文件,以获得更改。/root/ CONTENT_EX

要帮助你检测/etc/下所有文件/目录中数据的更改,请使用此选项。/etc/ DATAONLY

使用AIDE检查Linux中的文件和目录完整性

首先根据使用--init标志执行的检查构造数据库,在系统连接到网络之前,需要执行此操作。

下面的命令将创建一个数据库,其中包含你在配置文件中选择的所有文件。# aide --init>

初始化Aide数据库

然后使用此命令将数据库重命名为/var/lib/aide/aide.db.gz。# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

建议将数据库移动到可能位于只读媒体或另一台计算机上的安全位置,但是请确保更新配置文件以便从该位置读取。

创建数据库后,现在可以使用--check标志检查文件和目录的完整性。# aide --check

它将读取数据库中的快照,并将它与系统磁盘上找到的文件/目录进行比较,如果它发现更改,将生成一个报告,然后你可以查看。

运行文件完整性检查

由于没有对文件系统进行更改,因此你只能得到与上面类似的输出,现在,在配置文件中定义的区域中尝试在文件系统中创建一些文件。# vi /etc/script.sh

# touch all.txt

然后再次运行检查,它会报告刚才添加的文件,# aide --check>

检查文件系统更改

你需要定期运行aide检查,并且在对已选择的文件的更改或在配置文件中添加新的文件定义的情况下,始终使用:--update选项更新数据库# aide --update

运行数据库更新后,要使用新数据库进行后续扫描,请始终将它重命名为/var/lib/aide/aide.db.gz:# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

GPUOpen
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
文件的读写基本操作
范高伦的博客
09-07 1万+
一、文件是计算机数据持久化存储的表现形式 读写文件标准操作格式1: 1、打开文件:file1 = open('文件名','读写模式') 2、操作文件 3、关闭文件:file1.close() 文件操作完毕后必须关闭,否则长期保持对文件的连接状态,造成内存溢出的现象发生 读写文件操作格式2: # 1、打开文件 file1 = open('demo.txt','w') # 2、操作文件 file1.write('hello world') # 3、关闭文件 file1.close() 1、打开文件:wi
linux aide使用方法,如何在Linux使用AIDE检查文件目录完整性
weixin_29585753的博客
05-13 1149
在我们关于加强和保护CentOS 7的大型指南,在“ 内部保护系统 ”一节,我们列出的用于内部系统保护以防病毒,rootkit,恶意软件和检测未授权活动的有用安全工具之一是AIDEAIDE ( 高级入侵检测环境 )是一个小而强大的免费开源入侵检测工具,它使用预定义的规则来检查类Unix操作系统(如Linux)文件目录完整性。 它是用于简化客户端/服务器监视配置的独立静态二进制文件。它...
linux aide使用方法,如何在Linux使用AIDE监控文件完整性
weixin_34416909的博客
05-13 595
简介AIDE(高级入qin检测环境)是文件完整性检查程序和入qin检测程序。特性主要用途是检查文件完整性,审计计算机上哪些文件被更改过。AIDE根据从/etc/aide.conf配置文件找到的正则表达式规则创建数据库。初始化该数据库后,就可以用来验证文件完整性。还可以检查所有通常的文件属性是否存在不一致。它可以读取旧版本或更新版本的数据库。AIDE数据库能够保存文件的各种属性,包括:权限(p...
数据加密使用AIDE做入侵检测扫描与抓包分析
weixin_42816196的博客
07-02 561
数据的丢失的原因有那些   什么是加解密 放送方   : 明文——密文 接收方  :   密文——明文   加密的目的和方式 确保数据的机密性 对称加密————加密解密用同一把私钥  单机最适合 非对称加密——————加密解密用不同的私钥  互联网文件访问最好用非对称加密   保证数据的完整性 信息摘要:基于输入的信息数据的生成的长短 ,位数固定的散列值   常见的加密...
linux aide使用方法,Linux AIDE(文件完整性检测)
weixin_34239718的博客
05-13 2222
一、AIDE的概念AIDE:Advanced Intrusion Detection Environment,是一款入侵检测工具,主要用途是检查文档的完整性AIDE在本地构造了一个基准的数据库,一旦操作系统被入侵,可以通过对比基准数据库而获取文件变更记录,使用aide.conf作为其配置文档。AIDE数据库能够保存文档的各种属性,包括:权限(permission)、索引节点序号(inode nu...
Linux如何基于AIDE检测文件系统完整性
09-14
AIDE通过创建一个系统文件目录的初始完整性数据库(快照),其包含了所有关键文件的属性和哈希值。这些属性包括文件类型、权限、属主、属组、大小、创建时间、修改时间和访问时间等。当系统文件发生变化时,...
LinuxAIDE入侵检测系统的应用.pdf
09-06
2. Monitoring 阶段:在这个阶段AIDE 会不断地监控文件系统的变化,检查文件完整性,如果发现任何变化,AIDE 就会生成报告。 3. Reporting 阶段:在这个阶段AIDE 会生成报告,报告包括文件的变化信息,...
Linux基线检查.zip
最新发布
11-17
- **安全工具**:安装和使用安全工具,如AIDE(Advanced Intrusion Detection Environment)进行文件完整性检查,Tripwire进行系统篡改检测。 4. **系统基线检查的意义**:通过对Linux系统进行基线检查,可以发现...
Linux文件完整性校验检查方案AIDE
12-13
Linux文件系统的完整性是确保系统安全性和可靠性的关键因素之一。AIDE(Advanced Intrusion Detection Environment)是一种免费且开源的工具,专门设计用于检测Linux系统文件的任何未经授权的更改。这款强大的工具...
linux如何全局搜索目录,Linux目录全文搜索
weixin_33994823的博客
04-28 4043
文件内容搜索1grep -r root /home/ray/dev/media/wyquery/*通过这种方法来寻找数据库配置文件目录其他$ grep “被查找的字符串” 文件名例子:在当前目录里第一级文件寻找包含指定字符串的.in文件grep “thermcontact” */*.in从文件内容查找与正则表达式匹配的行:$ grep –e “正则表达式” 文件名查找时不区分大小写:$ gr...
linux怎么检测文件完整性,Linux如何基于AIDE检测文件系统完整性
weixin_28851659的博客
04-28 453
一、AIDEAIDE(Advanced Intrusion Detection Environment)是一款针对文件目录进行完整性对比检查的程序,它被开发成Tripwire的一个替代品。AIDE如何工作AIDE通过构造指定文件完整性样本库(快照),作为比对标准,当这些文件发生改动时,其对应的校验值也必然随之变化,AIDE可以识别这些变化从而提醒管理员。AIDE监控的属性变化主要包括:权限、属...
使用AIDE检查完整性
allway2的博客
07-05 1184
Advanced Intrusion Detection Environment(AIDE)是一种实用程序,可在系统上创建文件数据库,然后使用该数据库来确保文件完整性并检测系统入侵。 1。安装AIDE 要安装助手包,请输入以下命令root: ~]#yum install aide 要生成初始数据库,请输入以下命令root: ~]#aide --init AIDE, version 0.15.1 ### AIDE database at /var/lib/a...
aide监控系统文件
yunweimao的博客
06-20 681
在我们关于加强和保护CentOS 7的大型指南,在“内部保护系统”一节,我们列出的用于内部系统保护以防病毒,rootkit,恶意软件和检测未授权活动的有用安全工具之一是AIDE...
入侵检测工具AIDE极简教程
sharesky的博客
03-22 3027
什么是AIDEAIDE(Advanced Intrusion Detection Environment)是个入侵检测工具,主要用途是检查文档的完整性。(摘自百度百科)一句话:AIDE在本地构造了一个基准的数据库,用来保存文档各种属性的原始状态,一旦操作系统被入侵,可以通过对比基准数据库而获取文件变更记录;安装AIDE我的操作系统是centos7.2,默认yum源可以直接找到安装包,so:yum...
AIDE使用
侯海云
09-13 8481
AIDE简介当一个入侵者进入了你的系统并且种植了木马,通常会想法来隐蔽这个木马(除了木马自身的一些隐蔽特性外,他会尽量给你检查系统的过程设置障碍),通常入侵者会修改一些文件,比如管理员通常用ps -aux来查看系统进程,那么入侵者很可能用自己经过修改的ps程序来替换掉你系统上的ps程序,以使用ps命令查不到正在运行的木马程序。如果入侵者发现管理员正在运行crontab作业,也有可能替换掉cronta
使用AIDE工具做入侵检测
KHOST的博客
08-05 481
AIDE(Advanced Intrusion Detection Environment,高级入侵检测环境)是个入侵检测工具,主要用途是检查文档的完整性AIDE能够构造一个指定文档的数据库,他使用aide.conf作为其配置文档。AIDE数据库能够保存文档的各种属性,包括:权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文档大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小连同连接数。
AIDE --Linux高级***检测
weixin_33893473的博客
08-02 307
AIDE--(文件系统)高级***检测1、aide的概述AIDE(Adevanced Intrusion Detection Environment,高级***检测环境)是个***检测工具,主要用途是检查文本的完整性。 AIDE能够构造一个指定文档的数据库,他使用aide.conf作为其配置文档。AIDE数据库能够保存文档的各种属性,包括:权限(permission)、索引节...
Linux检查文件完整性的 6 种方法,减少黑客攻击风险
技术宅,专注云原生、Go、Linux、Java等技术分享,原创文章、效率工具、实战解决方案!关注我,了解互联网动态,学 IT 不迷路
03-01 5100
如果您认真对待 Linux 桌面的安全性,那么验证您从 Internet 下载的文件的 checksum 是一个好习惯。 当您下载 Linux ISO 文件时,您可能已经注意到下载链接附近有一个 checksum。checksum 是一长串实际上没有任何意义的数字和字母。此 checksum 的目的是帮助您确认您下载的文件正是您期望的文件,它没有被不完整的下载损坏或有人在文件到达您之前篡改文件。 有几种方法可以在 Linux 上验证文件完整性。看看以下程序,看看哪一个对您有吸引力。 1. Hashbrow
Linux命令之校验目录sha1deep
二木成林
07-17 434
`sha1deep` 命令比 `sha1sum` 功能更加丰富,可以递归检查整个目录树。即计算每一个目录文件,为每个子目录的每个文件生成校验和。
10.4: 加密与解密 、 AIDE入侵检测系统 、 扫描与抓包 、 总结和答疑.docx
03-05
文档通过具体案例详细讲解了如何使用GPG工具进行加密、解密和签名操作,同时提到了MD5校验和在数据完整性检查的作用。此外,还提及了AIDE作为入侵检测系统在系统监控方面的功能,以及扫描和抓包在网络分析的重要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值