AIDE

AIDE(Advance Intrusion Detection Environment)
1.AIDE 主要对文件完整性进行检测(etc,二进制命令等)
2.文件的属性：permissions,inode number,user,group,file size,mtime,
ctime,atime,growing size,number of links
3.AIDE 使用sha1,sha256,sha512,md5,rmd160,tiger对文件进行完整性校验

1. /etc/aide.conf   AIDE配置文件位置
各个符号代表的意思
#p: permissions
#i: inode number
#n: number of links
#l: link name
#u: user
#g: group
#s: size
#b: block count
......
2.定义规则
MyRule=p+i+n+u+g+s+b+m+c+md5+sha1
3.配置要监控的文件
/etc p+i+u+g
/bin MyRule

4.AIDE的使用
4.1初始化AIDE数据库
aide --init
mv /var/lib/aide.db.new.gz /var/lib/aide.db.gz
4.2检查AIDE监控的文件
aide --check
4.3更新AIDE数据库（若是自己正常修改，可以使用update参数更新，不再报错）
aide --update
4.4周期性进行AIDE检查
crontab -e
* 3 * * * /usr/sbin/aide --check|mail -s "AIDE report" [email protected]

文章内容来自itercast.com老师的讲解内容，以作备忘。