第 8 章 使用 AIDE 检查完整性

流程

1. 安装 aide 软件包：

   # dnf install aide

2. 生成一个初始数据库：

   # aide --init
   Start timestamp: 2024-07-08 10:39:23 -0400 (AIDE 0.16)
   AIDE initialized database at /var/lib/aide/aide.db.new.gz
   
   Number of entries:	55856
   
   ---------------------------------------------------
   The attributes of the (uncompressed) database(s):
   ---------------------------------------------------
   
   /var/lib/aide/aide.db.new.gz
   …
     SHA512   : mZaWoGzL2m6ZcyyZ/AXTIowliEXWSZqx
                IFYImY4f7id4u+Bq8WeuSE2jasZur/A4
                FPBFaBkoCFHdoE/FW/V94Q==

3. 可选：在默认配置中，aide --init 命令只检查 /etc/aide.conf 文件中定义的一组目录和文件。要在 AIDE 数据库中包含其他目录或文件，并更改其监视的参数，请相应地编辑 /etc/aide.conf。

4. 要开始使用数据库，请从初始数据库文件名中删除 .new 子字符串：

   # mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

5. 可选：要更改 AIDE 数据库的位置，请编辑 /etc/aide.conf 文件，并修改 DBDIR 值。要获得额外的安全性，请将数据库、配置和 /usr/sbin/aide 二进制文件存储在安全的位置，如只读介质。