至少,CentOS是自带了,安装非常简单,yum命令就可以安装了。安装之后还得配置才能使用,AIED为:Adevanced Intrusion Detection Environment,高级入侵检测环境)是Linux下的入侵检测工具,主要工作原理是检查文档的完整性。通过hash、md5等等进行校验,从而确定文件的完整性。
1.安装AIDE
yum install -y aide2.为默认的AIDE配置生成一次数据(可有可无)
先来看下安装aide后默认的配置是什么样的,安装后,配置文件就在/etc/aide.conf里面 cat /etc/aide.conf |grep -v ^# |grep -v ^$ 进行查看有效配置,这里不列出全部配置:@@define DBDIR /var/lib/aide
@@define LOGDIR /var/log/aide
database=file:@@{DBDIR}/aide.db.gz
database_out=file:@@{DBDIR}/aide.db.new.gz
gzip_dbout=yes
verbose=5
report_url=file:@@{LOGDIR}/aide.log
report_url=stdout
ALLXTRAHASHES = sha1+rmd160+sha256+sha512+tiger
EVERYTHING = R+ALLXTRAHASHES
NORMAL = R+rmd160+sha256
DIR = p+i+n+u+g+acl+selinux+xattrs
PERMS = p+i+u+g+acl+selinux
LOG = >
LSPP = R+sha256
DATAONLY = p+n+u+g+s+acl+selinux+xattrs+md5+sha256+rmd160+tiger
/boot NORMAL
/bin NORMAL
/sbin NORMAL
/lib NORMAL
/lib64 NORMAL
/opt NORMAL
/usr NORMAL
/root NORMAL
!/usr/src
/etc/audit/ LSPP
/etc/libaudit.conf LSPP
/usr/sbin/stunnel LSPP
上面NORMAL是检测的规则,可以自行定义,下面是NORMAL之前是需要监控的文件,或者目录。同样,LSPP也是规则。你也可以自定义新的规则并随便为之取名。如:
MyDetectionFile = R+rmd160+sha256+selinux
然后添加需要用这个规则进行监控:
/boot MyDetectionFile
生成数据库文件(又叫初始化数据库):运行 aide --init 即可 会在目录 /var/lib/aide/ 生成一个叫 aide.db.new.gz 压缩包
默认监控的文件比较多,需要等待一段时间
生成后,重命名生成的数据库文件名 mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
对安全方面有所学习Good!
回复取消回复嗯。算是学习。也算是了解。
回复取消回复你也用多说了
回复取消回复用了好久了啊。
回复取消回复学习,好东西。
回复取消回复简单易用好理解。
回复取消回复好强悍~
回复取消回复意思是好强悍的样子是不是。
回复取消回复这个碰到修改的文件多了,详细表就要很长了。。。
回复取消回复嗯。确实,倒是可以使用命令直接过滤保存自己需要的嘛。
回复取消回复它认识我,我不认识它
回复取消回复这码事,貌似这东西用得也不是很多啊。
回复取消回复