linux系统mysql入侵_Linux操作系统入侵检测AIDE

AIDE(Adevanced Intrusion Detection Environment,高级入侵检测环境)是个入侵检测工具，主要用途是检查文本的完整性。我们可以通过配置AIDE的配置文件aide.conf选择我们想要加密目录，并且选择我们想加密的策略。

Linux还有一个工具是：tripwire，但是这个工具操作起来更复杂一点，所以可以使用简单有效的AIDE。

下面用CentOS 7实验一波：

首先安装aide，yum install -y aide

下面康康他的配置文件啥样，cat /etc/aide.conf

挺多的都是默认审计的文件夹，就省略了。。。

第一个为数据库路径，就是等下生成的HASH数据生成的路径

第二个是日志文件路径

这个是开启压缩

这块是AIDE能够保存文件的内容

#p:     permissions    //权限

#i:      inode:索引节点

#n:     number of links    //链接数

#u:     user    //所属用户

#g:     group    //所属用户组

#s:     size    //大小文件

#b:     block count    块计数

#m:     mtime    //最后修改时间

#a:      atime    //最后访问时间

#c:      ctime    //创建时间

#S:      check for growing size  //检查大小是否增加

#acl:           Access Control Lists    //访问控制列表

#selinux        SELinux security context    //SELinux

#xattrs:        Extended file attributes    //扩展文件属性

然后AIDE可以使用以下算法对文件进行HASH，并且将HASH值载入到一个基准数据库，通过对比当前文件的HASH与数据库中存储的HASH就可以得到文件是否被修改过。

#md5:             md5 checksum

#sha1:            sha1 checksum

#sha256:        sha256 checksum

#sha512:        sha512 checksum

#rmd160:        rmd160 checksum

#tiger:             tiger checksum

可以配置自己需要的的规则，首先定义一个变量，赋值给他相应的属性

写入需要的目录    加上规则变量

路径前面加一个!表示忽视这个路径

下面实验一下AIDE

在根目录创建一个文件夹，里面创建两个.txt文件

将文件夹路径添加到AIDE配置文件

使用aide --init，初始化数据库，(这块等的时间比较长)

进入数据库文件路径可以看到最新生成的HASH文件

将初始化的数据库文件当作基准数据库(这个名字不是随便起的，谁叫aide.db.gz谁就是基准数据库，没有这个文件后面会报错)

进入刚刚的测试文件夹，修改1.txt，删除2.txt

现在使用AIDE检查系统文件，看看有什么效果

估计等个大约三四分钟，就可以看到结果了，一共检测了114954个文件，新增0，删除1，修改1，删除了2.txt,修改了1.txt，然后后面是SHS256加密的HASH对比。

说明这个工具确实有效果，如果此时是管理员自己修改的那么可以使用aide --update更新数据库，然后修改新生成的数据库文件，将最新的数据库最为基准文件。

然后我看他这个还有邮件功能，我用自己邮箱试了一下，真的可以太强了！！！

(后面两个修改是我自己改的)

然后可以写一个bash脚本，添加到定时任务让它每天自己执行，并将报告发送到我的邮箱。应该是可以实现的，今天就不演示了

下面是AIDE常用的参数

--init       //初始化一个数据库

--check    //检查与基准库是否不同

--update    //更新库

--version,-v    //显示版本号

--help    //显示帮助信息