7.4. 文件完整性工具:AIDE 和 IMA
Red Hat Enterprise Linux 提供多个用于检查和维护系统上文件和目录完整性的工具。下表可帮助您决定哪个工具更适合您的场景。
问题 | 高级入侵检测环境(AIDE) | 完整性测量架构 (IMA) |
---|---|---|
什么 | AIDE 是一个在系统上创建文件和目录数据库的工具。此数据库用于检查文件完整性及检测入侵检测。 | IMA 通过检查与之前存储的扩展属性相比的文件度量(哈希值)来检查文件是否被修改了。 |
如何 | AIDE 使用规则来比较文件和目录的完整性状态。 | IMA 使用文件哈希值来检测入侵。 |
为什么 | 检测 - AIDE 通过验证规则来检测文件是否被修改。 | 检测和防止 - IMA 通过替换文件的扩展属性来检测和防止攻击。 |
使用 | 当文件或目录被修改了,AIDE 会检测到威胁。 | 当有人试图更改整个文件时,IMA 会检测到威胁。 |
扩展 | AIDE 检查本地系统上文件和目录的完整性。 | IMA 确保本地和远程系统的安全性。 |