AIDE (“高级入侵检测环境”的简称)是一个开源的基于主机的入侵检测系统。AIDE通过检查大量文件属性的不一致性来检查系统二进制文件和基本配置文件的完整性,这些文件属性包括权限、文件类型、索引节点、链接数、链接名、用户、组、文件大小、块计数、修改时间、添加时间、创建时间、acl、SELinux安全上下文、xattrs,以及md5/sha校验值在内的各种特征。 AIDE通过扫描一台(未被篡改)的Linux服务器的文件系统来构建文件属性数据库,以后将服务器文件属性与数据库中的进行校对,然后在服务器运行时对被修改的索引了的文件发出警告。出于这个原因,AIDE必须在系统更新后或其配置文件进行合法修改后重新对受保护的文件做索引。 install: yum install aide 初始化AIDE数据库: aide --init ### AIDE database at /var/lib/aide/aide.db.new.gz initialized. 根据/etc/aide.conf生成的/var/lib/aide/aide.db.new.gz文件需要被重命名为/var/lib/aide/aide.db.gz,以便AIDE能读取它: mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz 将当前系统文件与数据库进行校对: aide >> diff.txt 在没有选项时,AIDE假定使用了--check选项 更新数据库 如果校对结果都是合法的修改,此时就需要更新数据了。 aide -c /etc/aide.conf --update