一.AIDE简介AIDE(Adevanced Intrusion Detection Environment,高级入侵检测环境)是个入侵检测工具,主要用途是检查文档的完整性。AIDE能够构造一个指定文档的数据库,他使用aide.conf作为其配置文档。AIDE数据库能够保存文档的各种属性,使用下列算法:sha1、md5、rmd160、tiger,以密文形式建立每个文档的校验码或散列号。系统管理员应该建立新系统的AIDE数据库。这第一个AIDE数据库是系统的一个快照和以后系统升级的准绳。这个数据库不应该保存那些经常变动的文档信息,例如:日志文档、邮件、/proc文档系统、用户起始目录连同临时目录。
推荐阅读:AIDE --Linux高级入侵检测 http://www.linuxidc.com/Linux/2013-08/88282.htmLinux服务器入侵后日志文件删除/恢复方法 http://www.linuxidc.com/Linux/2013-07/86957.htm网络入侵检测和阻止引擎 Suricata http://www.linuxidc.com/Linux/2012-08/68794.htmSnort + Base 入侵检测配置 http://www.linuxidc.com/Linux/2013-02/79805.htm
二.AIDE的下载和安装
1.由于依赖关系,首先安装mhash-0.9.9.9.tar.gz
# tar zxvf mhash.tgz
# ./configure
# make
# make install
2.安装aide-0.15-rc1.tar.gz
# tar zxvf aide-0.15-rc1.tar.gz
# ./configure --prefix=/usr/local/aide --with-mhash
# make
# make install
# mkdir -p /usr/local/aide/etc
# cp /root/aide-0.15-rc1/doc/aide.conf /usr/local/aide/etc/
# cp /usr/local/aide/bin/aide /bin/
三.修改配置文件
# vim aide.conf
修改数据库生成路径:database=file:/usr/local/aide/aide.db #系统镜像
database_out=file:/usr/local/aide/aide.new.db #新生成的系统镜像
直接在文件尾部添加要检查的目录或文件:
/bin R
/sbin R
/usr/bin R
/usr/sbin R
/usr/local/eyou/mail/web/tpl R
/dev/shm R
/opt/apache/htdocs R
/tmp/.ICE-unix R接下来请看:http://www.linuxidc.com/Linux/2013-08/88283p2.htm
AIDE --Linux高级入侵检测Gentoo 内核和系统升级相关资讯 AIDE Linux入侵检测
- 在CentOS上配置基于主机的入侵检测 (11/18/2014 08:08:52)
- AIDE --Linux高级入侵检测 (08/03/2013 13:00:20)
| - IDS入侵检测系统搭建(Linux ) (10/25/2013 07:53:58)
- AIDE 2.0 发布,在 Android 上开发 (05/15/2013 08:09:17)
|
本文评论 查看全部评论 (0)
易网时代-编程资源站