AIDE入侵检测系统

1 部署AIDE入侵检测系统1.1 安装软件1.2 修改配置文件2 初始化数据库，入侵后检测2.1 入侵前对数据进行校验，生成初始化数据库2.2 备份数据库2.3 入侵后检测

Aide通过检查数据文件的权限、时间、大小、哈希值等，校验数据的完整性。

使用Aide需要在数据没有被破坏前，对数据完成初始化校验，生成校验数据库文件，在被攻击后，可以使用数据库文件，快速定位被人篡改的文件。

1 部署AIDE入侵检测系统

1.1 安装软件

yum -y install aide

1.2 修改配置文件

vim /etc/aide.conf@@define DBDIR /var/lib/aide #数据库目录@@define LOGDIR /var/log/aide #日志目录database_out=file:@@{DBDIR}/aide.db.new.gz#数据库文件名#一下内容为可以检查的项目（权限，用户，组，大小，哈希值等）#p:permissions#i:inode:#n:number of links#u:user#g:group#s:size#md5: md5 checksum#sha1: sha1 checksum#sha256: sha256 checksumDATAONLY = p+n+u+g+s+acl+selinux+xattrs+sha256#以下内容设置需要对哪些数据进行入侵校验检查#注意：为了校验的效率，这里将所有默认的校验目录与文件都注释#仅保留/tmp目录，其他目录都注释掉/tmp DATAONLY#/boot NORMAL#对哪些目录进行什么校验#/bin NORMAL#/sbin NORMAL#/lib NORMAL#/lib64 NORMAL#/opt NORMAL#/usr NORMAL#!/usr/src#使用[!]，设置不校验的目录#!/usr/tmp

2 初始化数据库，入侵后检测

2.1 入侵前对数据进行校验，生成初始化数据库

aide --initAIDE, version 0.15.1AIDE database at /var/lib/aide/aide.db.new.gz initialized.#生成校验数据库，数据保存在/var/lib/aide/aide.db.new.gz

2.2 备份数据库

cp /var/lib/aide/aide.db.new.gz /media/

2.3 入侵后检测

cd /var/lib/aide/mv aide.db.new.gz aide.db.gzaide --check #检查哪些数据发生了变化