linux下系統級***檢測工具AIDE

  AIDE(Adevanced Intrusion Detection Environment)全稱高級***檢測系統，它的主要原理就是經過一系列算法校驗文件屬性，來檢測文件的完整性.第一次運行的時候它經過掃描文件系統，來構建文件屬性數據庫.而後它對照該數據庫一旦定義被監控的文件屬性發生變化時就發出警告.

 1.安裝AIDE

   環境:centos6.4

   yum -y install aide

 2.第一次運行執行aide --init 初始化數據庫

  

 3.根據/etc/aide.conf下面的配置文件,將生成的數據庫文件重命名

   mv /var/lib/aide/aide.db.new.gz  /var/lib/aide/aide.db.gz

 4.刪掉/root下面的website.data文件，運行aide測試

   rm -rf  website.dat

   aide

 

 經過結果能夠看到，被刪文件的詳細操做信息

5.更新數據庫，在生產環境中咱們時常要對文件作各類各樣的操做，每次修改後都要更新aide數據庫

  aide --update

  命令幫助上面寫的檢查和更新aide數據庫，實際測試--update這個命令，沒有更新數據庫而是從新生成了一個aide.db.new.gz的數據庫文件

AIDE的配置文件：/etc/aide.conf

指定數據文件目錄、日誌目錄、數據文件名稱、產生的新數據文件名稱、是否壓縮、日誌級別

系統定義的幾種監控規則，這個能夠本身定義

p-權限，i-inode節點，n-連接數量，u-全部者，g-所屬組，acl-acl權限，m-修改時間

對目錄指定監控規則，！表示忽略子目錄或目錄中的文件