第 7 章 使用 AIDE 检查完整性
高级入侵检测环境(AIDE)是一个在系统上创建文件数据库的工具,然后使用该数据库确保文件的完整性,并检测系统入侵。
7.1. 安装 AIDE
要使用 AIDE 启动文件完整性检查,您必须安装对应的软件包并启动 AIDE 数据库。
先决条件
-
AppStream存储库已启用。
流程
安装
aide软件包:# yum install aide生成一个初始数据库:
# aide --init Start timestamp: 2024-07-08 10:39:23 -0400 (AIDE 0.16) AIDE initialized database at /var/lib/aide/aide.db.new.gz Number of entries: 55856 --------------------------------------------------- The attributes of the (uncompressed) database(s): --------------------------------------------------- /var/lib/aide/aide.db.new.gz … SHA512 : mZaWoGzL2m6ZcyyZ/AXTIowliEXWSZqx IFYImY4f7id4u+Bq8WeuSE2jasZur/A4 FPBFaBkoCFHdoE/FW/V94Q==-
可选:在默认配置中,
aide --init命令只检查/etc/aide.conf文件中定义的一组目录和文件。要在 AIDE 数据库中包含其他目录或文件,并更改其监视的参数,请相应地编辑/etc/aide.conf。 要开始使用数据库,请从初始数据库文件名中删除
.new子字符串:# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz-
可选:要更改 AIDE 数据库的位置,请编辑
/etc/aide.conf文件并修改DBDIR值。要获得额外的安全性,请将数据库、配置和/usr/sbin/aide二进制文件存储在安全的位置,如只读介质。
