AIDE(Advanced Intrusion Detection Environment)是一款針對(duì)文件和目錄進(jìn)行完整性對(duì)比檢查的程序,它被開發(fā)成Tripwire的一個(gè)替代品。
AIDE如何工作
這款工具年紀(jì)也不小了,相對(duì)來同類工具Tripwire說,它的操作也更加簡單。它需要對(duì)系統(tǒng)做快照,記錄下HASH值,修改時(shí)間,以及管理員對(duì)文件做的預(yù)處理。這個(gè)快照可以讓管理員建立一個(gè)數(shù)據(jù)庫,然后存儲(chǔ)到外部設(shè)備進(jìn)行保管。
當(dāng)管理員想要對(duì)系統(tǒng)進(jìn)行一個(gè)完整性檢測時(shí),管理員會(huì)將之前構(gòu)建的數(shù)據(jù)庫放置一個(gè)當(dāng)前系統(tǒng)可訪問的區(qū)域,然后用AIDE將當(dāng)前系統(tǒng)的狀態(tài)和數(shù)據(jù)庫進(jìn)行對(duì)比,最后將檢測到的當(dāng)前系統(tǒng)的變更情況報(bào)告給管理員。另外,AIDE可以配置為定時(shí)運(yùn)行,利用cron等日程調(diào)度技術(shù),每日對(duì)系統(tǒng)進(jìn)行檢測報(bào)告。
這個(gè)系統(tǒng)主要用于運(yùn)維安全檢測,AIDE會(huì)向管理員報(bào)告系統(tǒng)里所有的惡意更迭情況。
AIDE的特性
支持消息摘要算法:md5, sha1, rmd160, tiger, crc32, sha256, sha512, whirlpool
支持文件屬性:文件類型,文件權(quán)限,索引節(jié)點(diǎn),UID,GID,鏈接名稱,文件大小,塊大小,鏈接數(shù)量,Mtime,Ctime,Atime
支持Posix ACL,SELinux,XAttrs,擴(kuò)展文件系統(tǒng)屬性
純文本的配置文件,精簡型的數(shù)據(jù)庫
強(qiáng)大的正則表達(dá)式,輕松篩選要監(jiān)視的文件和目錄
支持Gzip數(shù)據(jù)庫壓縮
獨(dú)立二進(jìn)制靜態(tài)編譯的客戶端/服務(wù)器監(jiān)控配置
許多Linux發(fā)行版里其實(shí)也帶AIDE的源,你可以輸入aptitude install aide直接安裝它。
附上Aide 0.15.1的源碼下載。