4.11. 使用 AIDE检查完整性
高级入侵检测环境(Advanced Intrusion Detection Environment,简称 AIDE)是一个实用工具,它可以创建系统上的文件数据库,然后利用该数据库来确保文件的完整性,并检测系统入侵。
4.11.1. 安装 AIDE
要安装 aide 软件包,请以
root 用户身份输入以下命令:
~]# yum install aide
要生成初始数据库,请以
root 用户身份输入以下命令:
~]# aide --init
AIDE, version 0.15.1
### AIDE database at /var/lib/aide/aide.db.new.gz initialized.注意
在默认配置中,aide --init 命令只检查
/etc/aide.conf 文件中定义的一组目录和文件。要在 AIDE 数据库中包含其他目录或文件,并更改其监视的参数,请相应地编辑 /etc/aide.conf。
要开始使用数据库,请从初始数据库文件名中删除
.new 子字符串:
~]# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
要修改 AIDE 数据库的位置,请编辑
/etc/aide.conf 文件并修改 DBDIR 值。要获得额外的安全性,请将数据库、配置和 /usr/sbin/aide 二进制文件存储在安全的位置,如只读介质。
重要
为了避免 AIDE 数据库位置更改后的 SELinux 拒绝,请相应地更新您的 SELinux 策略。如需更多信息,请参阅 SELinux 用户和管理员指南。
4.11.2. 执行完整性检查
要启动手动检查,请以
root 用户身份输入以下命令:
~]# aide --check
AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2017-03-30 14:12:56
Summary:
Total number of files: 147173
Added files: 1
Removed files: 0
Changed files: 2
...
AIDE 至少应配置为运行每周扫描。多数情况下,AIDE 应该每天运行。例如,要使用 cron 计划在每天 4:05 执行 AIDE (请参阅系统管理员指南中的 Automating System Tasks 章节),请将以下行添加到
/etc/crontab :
05 4 * * * root /usr/sbin/aide --check
4.11.3. 更新 AIDE 数据库
在验证了软件包更新或配置文件调整等系统更改后,更新您的基准 AIDE 数据库:
~]# aide --update
aide --update 命令创建
/var/lib/aide/aide.db.new.gz 数据库文件。要开始使用它进行完整性检查,请从文件名中删除 .new 子字符串。
4.11.4. 其它资源
有关 AIDE 的更多信息,请参阅以下文档:
aide(1)手册页aide.conf(5)man page
