AIDE连接mysql_Linux系统安全之AIDE（高级入侵检测环境）篇

一.AIDE简介

AIDE(Adevanced Intrusion Detection Environment,高级入侵检测环境)是个入侵检测工具，主要用途是检查文档的完整性。

AIDE能够构造一个指定文档的数据库，他使用aide.conf作为其配置文档。AIDE数据库能够保存文档的各种属性，使用下列算法：sha1、md5、rmd160、tiger，以密文形式建立每个文档的校验码或散列号。系统管理员应该建立新系统的AIDE数据库。这第一个AIDE数据库是系统的一个快照和以后系统升级的准绳。这个数据库不应该保存那些经常变动的文档信息，例如：日志文档、邮件、/proc文档系统、用户起始目录连同临时目录。

推荐阅读：

Snort + Base 入侵检测配置 http://www.linuxidc.com/Linux/2013-02/79805.htm

二.AIDE的下载和安装

1.由于依赖关系，首先安装mhash-0.9.9.9.tar.gz

# tar zxvf mhash.tgz

# ./configure

# make

# make install

2.安装aide-0.15-rc1.tar.gz

# tar zxvf aide-0.15-rc1.tar.gz

# ./configure --prefix=/usr/local/aide --with-mhash

# make

# make install

# mkdir -p /usr/local/aide/etc

# cp /root/aide-0.15-rc1/doc/aide.conf /usr/local/aide/etc/

# cp /usr/local/aide/bin/aide /bin/

三.修改配置文件

# vim aide.conf

修改数据库生成路径：

database=file:/usr/local/aide/aide.db                      #系统镜像

database_out=file:/usr/local/aide/aide.new.db        #新生成的系统镜像

直接在文件尾部添加要检查的目录或文件:

/bin R

/sbin R

/usr/bin R

/usr/sbin R

/usr/local/eyou/mail/web/tpl R

/dev/shm R

/opt/apache/htdocs R

/tmp/.ICE-unix R