Linux下的入侵检测系统AIDE

至少，CentOS是自带了，安装非常简单，yum命令就可以安装了。安装之后还得配置才能使用，AIED为：Adevanced Intrusion Detection Environment,高级入侵检测环境)是Linux下的入侵检测工具，主要工作原理是检查文档的完整性。通过hash、md5等等进行校验，从而确定文件的完整性。

1.安装AIDE

yum install -y aide

2.为默认的AIDE配置生成一次数据（可有可无）

先来看下安装aide后默认的配置是什么样的，安装后，配置文件就在/etc/aide.conf里面 cat /etc/aide.conf |grep -v ^# |grep -v ^$ 进行查看有效配置，这里不列出全部配置：

@@define DBDIR /var/lib/aide @@define LOGDIR /var/log/aide database=file:@@{DBDIR}/aide.db.gz database_out=file:@@{DBDIR}/aide.db.new.gz gzip_dbout=yes verbose=5 report_url=file:@@{LOGDIR}/aide.log report_url=stdout ALLXTRAHASHES = sha1+rmd160+sha256+sha512+tiger EVERYTHING = R+ALLXTRAHASHES NORMAL = R+rmd160+sha256 DIR = p+i+n+u+g+acl+selinux+xattrs PERMS = p+i+u+g+acl+selinux LOG = > LSPP = R+sha256 DATAONLY = p+n+u+g+s+acl+selinux+xattrs+md5+sha256+rmd160+tiger /boot NORMAL /bin NORMAL /sbin NORMAL /lib NORMAL /lib64 NORMAL /opt NORMAL /usr NORMAL /root NORMAL !/usr/src /etc/audit/ LSPP /etc/libaudit.conf LSPP /usr/sbin/stunnel LSPP

上面NORMAL是检测的规则，可以自行定义，下面是NORMAL之前是需要监控的文件，或者目录。同样，LSPP也是规则。你也可以自定义新的规则并随便为之取名。如： MyDetectionFile = R+rmd160+sha256+selinux 然后添加需要用这个规则进行监控： /boot MyDetectionFile 生成数据库文件（又叫初始化数据库）：运行 aide --init 即可会在目录 /var/lib/aide/ 生成一个叫 aide.db.new.gz 压缩包默认监控的文件比较多，需要等待一段时间生成后，重命名生成的数据库文件名 mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

3.配置自己需要监控的文件。

vi /etc/aide.conf 将原有已监控的文件目录删除，添加自己需要监控的文件或目录重新初始化即可，当然，你需要删除或叫备份最初默认监控生成的数据库文件 mv /var/lib/aide/aide.db.gz /var/lib/aide/aide.db.gz.bak aide --init 添加监控周期 crontab -e 添加 * 3 * * * root /usr/sbin/aide --check service crond restart 进行周期监控即可。下面是我的监控配置：

aide conf