首先安装aide文件监控工具

yum install aide -y

/etc/aide.conf  配置文件

3 @@define DBDIR /var/lib/aide

4 @@define LOGDIR /var/log/aide  以上是它的变量

7 database=file:@@{DBDIR}/aide.db.gz  是以.gz的格式压缩,这是压缩后的数据库存放位置 /var/lib/aide目录下。

12database_out=file:@@{DBDIR}/aide.db.new.gz 文件输出。

15 gzip_dbout=yes  文件压缩格式是以gzip的格式压缩,默认yes

18 verbose=5  系统文件最多保留5份。

20 report_url=file:@@{LOGDIR}/aide.log  日志文件

以下是定义监控哪些目录或文件:

 88/boot   NORMAL

 89/bin    NORMAL

 90/sbin   NORMAL

 91/lib    NORMAL

 92/lib64  NORMAL

 93/opt    NORMAL

 94 /usr    NORMAL

 95/root   NORMAL

后面的NORMAL意思在配置文件中都有说明,我这里举一个例子:

68 NORMAL = R+rmd160+sha256

这个R的详解配置文件中也有,请看下面:

 54#R:            p+i+n+u+g+s+m+c+acl+selinux+xattrs+md5

 55#L:            p+i+n+u+g+acl+selinux+xattrs

 56#E:             Empty group

 57#>:             Growing logfilep+u+g+i+n+S+acl+selinux+xattrs

而后面的p的详解也有:

 28#p:     permissions

 29#i:      inode:

 30#n:      number of links

 31#u:      user

 32#g:      group

 33#s:      size

 34#b:      block count

 35#m:      mtime

 36#a:      atime

 37#c:      ctime

 38#S:      check for growing size

 39#acl:           Access Control Lists

当然以上这些只是说了部分功能及信息,配置文件里还有其他一些更多相关信息。

也就是说,后面只要写上NORMAL,就能监控许多你想监控的一些信息了,比如权限,文件大小,拥有人,拥有组等。

不想监控的话在所在文件的前面加上!(叹号)即可,例如:

 96 #These are too volatile

 97!/usr/src

 98!/usr/tmp

aide --init 生成数据库

aide --check 监控检查文件是否被恶意修改 (新生成的数据库文件必修修改名字,否则使用这个命令时会提示正在读取中,但必须有那个数据库文件)

/dir 监控本目录及目录下所有文件及目录

=/dir 只监控目录本身,不会监控以下的子目录

/dir 跳过本目录,不对本目录监控