七、AIDE入侵检测

Aide通过检查数据文件的权限、时间、大小、哈希值等，校验数据的完整性

部署AIDE入侵检测系统

[root@proxy ~]# yum -y install aide         //安装软件包

[root@proxy ~]# vim /etc/aide.conf      //修改配置文件,确定对哪些数据进行校验，如何校验数据

@@define DBDIR /var/lib/aide                            //检校结果数据库目录

@@define LOGDIR /var/log/aide                            //日志目录

database=file:@@{DBDIR}/aide.db.gz           //检校时参考的数据库文件名

database_out=file:@@{DBDIR}/aide.db.new.gz                //初始检校输出的数据库文件名

//以下内容为可以检查的项目（权限，用户，组，大小，哈希值等）

#p:      permissions     //权限

#i:       inode:           //i节点

#n:      number of links     //链接数

#u:      user            //用户

#g:      group       //组

#s:       size         //大小

#md5:    md5 checksum   //md5 值

#sha1:    sha1 checksum

#sha256:        sha256 checksum

DATAONLY =  p+n+u+g+s+acl+selinux+xattrs+sha256  //定义校验项目的组，可以写多个组

 

/root   DATAONLY                  //对哪些目录进行哪些项目校验

#!/usr/src                                        //使用[!]，设置不校验的目录

初始化数据库，入侵后检测

[root@proxy ~]# aide --init   //入侵前对数据进行校验，生成初始化数据库

AIDE, version 0.15.1

AIDE database at /var/lib/aide/aide.db.new.gz initialized.      //生成校验数据库，数据保存在/var/lib/aide/aide.db.new.gz

[root@proxy ~]# cp /var/lib/aide/aide.db.new.gz   /media/  //备份数据库，将数据库文件拷贝到U盘（非必须的操作）

 

[root@proxy ~]# cd /var/lib/aide/

[root@proxy ~]# mv aide.db.new.gz  aide.db.gz   //修改为检校时的参考数据库文件名

[root@proxy ~]# aide --check                            //入侵后检测,检查哪些数据发生了变化