AIDE完整性检查工具

AIDE简介：

　　AIDE (Advanced Intrusion Detection Environment)是一个文件和目录完整性检查工具。通过正则表达式过滤系统配置文件/etc/aide.conf来创建版本控制库。一旦被数据库文件创建完成，那就可以进行后期的完整性检查。

AIDE特性：

　　* 支持以下数字算法：MD5,SHA1 RMD160,TIGER,CRC32,SHA256,SHA512等

　　*支持检查的文件属性：文件类型、权限、inode、uid、连接符、大小、块、Mtime\Ctime\Atime

　　*支持编译时选项检查GZIP压缩

AIDE官网：

　　https://aide.github.io/

下载链接：

　　https://github.com/aide/aide/releases/download/v0.16.2/aide-0.16.2.tar.gz

适用场景：

　　进行系统安装后要做样本库，为后面发生入侵时或者平时进行入侵检查做好样本库

　　制定初始化数据库时，不应该保存那些经常变动的文件信息，例如：日志文件、邮件、/proc文件系统、用户起始目录以及临时目录.

安装方法：

可以采用下载源码方式进行编译安装，也可从对应系统中直接安装。

• Arch Linux: pacman -S aide
• Debian GNU/Linux | Ubuntu: apt install aide
• Gentoo: emerge aide
• MacPorts: port install aide
• FreeBSD: pkg install aide
• Red Hat | CentOS | Fedora: yum install aide
• openSUSE: zypper install aide
• IPCop: see here for installation guidelines

配置文件：

　　主程序 /usr/sbin/aide
　　配置文件 /etc/aide.conf
　　数据库目录 /var/lib/aide/aide.db.gz
　　日志文件 /var/log/aide/aide.log

命令详解：

Usage: aide [options] command

Commands:
　　　　　　-i, --init  根据配置文件进行初始化数据库
　　　　　　-C, --check 对比数据库进行文件完整性检查
　　　　　　-u, --update 更新数据库
　　　　　　--compare 对比两次数据库

Miscellaneous:
　　　　　　-D, --config-check 测试配置文件
　　　　　　-v, --version Show version of AIDE and compilation options
　　　　　　-h, --help Show this help message

Options:

　　　　　　-c [cfgfile] --config=[cfgfile] Get config options from [cfgfile]
　　　　　　-B "OPTION" --before="OPTION" Before configuration file is read define OPTION
　　　　　　-A "OPTION" --after="OPTION" After configuration file is read define OPTION
　　　　　　-r [reporter] --report=[reporter] Write report output to [reporter] url
　　　　　　-V[level] --verbose=[level] Set debug message level to [level]