AIDE检测比对工具

AIDE（Advanced Intrusion Detection Environment）

• （高级入侵检测环境）是一个入侵检测工具，主要用途是检查文件的完整性，审计计算机上的哪些文件被更改过了
• AIDE能够构造一个指定文件的数据库，它使用/etc/aide.conf作为其配置文件。AIDE数据库能够保存文件的各种属性，包括：权限（permission）、索引节点序号（inode number）、所属用户（user）、所属用户组（group）、文件大小、最后修改时间（mtime）、创建时间（ctime）、最后访问时间(atime)、增加的大小以及连接数。AIDE还能够使用下列算法：sha1、md5、rmd160、tiger，以密文形式建立每个文件的校验码或散列号
• 这个数据库不应该保存那些进程变动的文件信息，例如：日志文件、邮件、/proc文件系统、用户起始目录以及临时目录

AIDE安装

~]# yum install aide

修改配置文件/etc/aide.conf

指定对哪些文件进行检测
/test/chameleon R
/bin/ps R+a
/usr/bin/crontab R+a
/etc PERMS
!/etc/mtab："!" 表示忽略这个文件的检查
R=p+i+n+u+g+s+m+c+md5：权限+索引节点+链接数+用户+组+大小+最后一次修改时间+创建时间+md5校验值
NORMAL = R+rmd60+sha256

初始化默认的AIDE的库

~]# /usr/local/bin/aide --init

生成检查数据库（建议初始数据库存放到安全的地方）

~]# cd /var/lib/aide
~]# mv aide.db.new.gz aide.db.gz

检测：

~]# /usr/local/bin/aide --check

更新数据库

~]# aide --update