linux入侵检测工具之aide

AIDE(Advanced Intrusion Detection Environment,高级入侵检测环境)是个入侵检测工具,主要用途是检查文档的完整性。

它通过系统的“缩影”来进行对比,将期间的操作记录清楚的继续下来。比如说一个黑客在你的服务器里做了一些手脚,或者抓你的服务器去当矿工了,如果有了aide,进过对比就会知道操作记录,从而知道对方增、删、改、查了什么文件,这样修改回来就可以了;

下面来说aide的安装:

如果是centos系统的话,更新yum源后直接  yum install aide -y 就可以了;这样的安装,配置文件在/etc/aide.cconf;

当时公司使用的debian,其实apt-get install aide安装是可以的,但是在使用过程中多多少少出现了一些问题(其实是系统和安装包的问题),就使用安装包的方式安装了;

需要的包:flex、bison、mhash、zlib;

我这里下载了一个mhash包,其他的都是源直接安装的。
     tar xzvf mhash-0.9.9.9.tar.gz                  //解压安装包
     cd mhash-0.9.9.9/                               //进入解压出来的目录
    ./configure                                           //执行configure
    make                                                //make编译
    make install                                      //安装

ok,现在已经安装好mhash包了,再来安装其他的。

     apt-get install bison*

如果install安装不成功的话就使用    aptitude install bison    进行安装;

我在用install安装的时候就报错了,使用aptitude install bison可以进行智能安装,如果没有aptitude命令install安装一下就ok了;

     apt-get install flex -y
     apt-get install zlib*    

安装zlib的时候包太多,解压下来大概有800+MB,所以事先看看好自己的硬盘容量;

    tar xzvf aide-0.15.1.tar.gz                     //解压下载的aide包
    cd aide-0.15.1/                                     //进入解压的目录
    ./configure --prefix=/usr/local/aide --with-mhash      //指定安装目录和相关包
    make                                                      //make 编译
    make install                                          //安装

我的是安装在/usr/local/aide下的;

    在 /usr/local/aide/ 下新建etc文件夹:
        mkdir etc                                //新建etc文件夹用于存放配置文件

进入 aide-0.15.1/  解压包里的doc文件夹,将aide.conf配置文件拷贝到 /usr/local/aide/etc/下,

    cp aide-0.15.1/doc/aide.conf      /usr/local/aide/etc/

将aide的可执行文件复制到/bin下,方便命令的使用,不过这个好像还是不好用,不如用  /usr/local/aide/bin   下的aide: 
                         cp /usr/local/aide     /bin                        
    
    配置aide.conf文件,找到下面参数,修改如下:
        database=file:/usr/local/aide/aide.db.gz                #生成的系统镜像目录和格式
        database_out=file:/usr/local/aide/aide.db.new.gz        #新生成的系统镜像目录和格式
      在最后添加如下(这些是要监控或者说是要生成系统镜像的目录):
            /bin R
            /sbin R
            /usr R
            /etc R
            /tmp R
            /root R

完成配置之后就可以使用了:

  执行   /usr/local/aide/bin/aide    --init  或者     /usr/local/aide/bin/aide    -i  生成系统镜像

(总感觉这么说不对劲,镜像......(⊙o⊙)…)

这时  /usr/local/aide/下会有一个aide.db.new.gz文件,

需要修改一下:  mv  aide.db.new.gz   aide.db.gz     //这样就从新的系统镜像变成了系统镜像,哈哈......

aide.db.gz文件就相当于记录了系统当时的属性,如果配置文件里的那些文件夹有任何改动的话都会发现。

执行    usr/local/aide/bin/aide   -C  就可以了,这个C是大写的!

等待输出结果就ok了,自己可以测试下;

你可能感兴趣的:(linux入侵检测工具之aide)