Linux AIDE(文件完整性检测)
一、aide的概念
aide:advanced intrusion detection environment,是一款入侵检测工具,主要用途是检查文档的完整性。aide在本地构造了一个基准的数据库,一旦操作系统被入侵,可以通过对比基准数据库而获取文件变更记录,使用aide.conf作为其配置文档。aide数据库能够保存文档的各种属性,包括:权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文档大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小连同连接数。aide还能够使用下列算法:sha1、md5、rmd160、tiger,以密文形式建立每个文档的校验码或散列号。
二、aide使用
1.安装aide yum install aide -y
2.配置文件所在路径:/etc/aide.conf
3.对aide的配置文件进行检测:aide -d
4.创建一个文件test1.txt
5.根据aide.conf的配置进行初始化数据库 aide -c /etc/aide.conf -i
6.将新的初始化的数据库进行重命名
cd /var/lib/aide/
cp aide.db.new.gz aide.db.gz
7.修改刚才创建的文件
8.运行aide –check 对整个磁盘进行检查 aide --check 或者aide -c
9.效果如下,可以看到文件修改被检测出来
10.如果文件修改,对aide数据库进行更新
aide --update 或 aide -u
上一篇: springboot学习(2)
下一篇: jquery 表格的增行删行实现思路