使用AIDE作Linux高級入侵檢測文件監控

yum install aide -y  //epel

 cp /etc/aide.conf{,.bk}

/etc/aide.conf  //配置文件

#初始化監控數據庫(這須要一些時間)

/usr/sbin/aide -c /etc/aide.conf -i

#把當前初始化的數據庫做爲開始的基礎數據庫

cp /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

#若是是正常的改動 更新改動到基礎數據庫

aide -u

cd /var/lib/aide/

#覆蓋替換舊的數據庫

mv aide.db.new.gz aide.db.gz

#在終端中查看檢測結果

aide -C

#檢查文件改動 保存到文件

aide -C --report=file:/tmp/aide-report-`date +%Y%m%d`.txt

#定時任務執行aide檢測報告和自動郵件發送aide檢測報告

crontab -e

* */2 * * * root /usr/sbin/aide -C | /bin/mail -s "AIDE REPORT" name@mail.com  >/dev/null 2>&1

常見錯誤

aide error on starting prelink undo

prelink -a //或者修改配置文件，不去監控系統那些複雜的七七八八的文件/目錄

#定時任務每2個小時都會發送一份正常的報告，很煩，改一下，有出現不一樣的再發送。

00 */2 * * * root /bin/sh /root/sh/aide.sh >/dev/null 2>&1

#!/bin/bash

aide -C --report=file:/tmp/aide-report-`date +%Y%m%d`.txt

grep differences /tmp/aide-report-`date +%Y%m%d`.txt

if [ $? -eq 0 ];then

  /usr/sbin/aide -C | /bin/mail -s "AIDE REPORT" gao@139.com 

fi

find /tmp/ -name "aide-report-`date -d '7 days ago' +%Y%m%d`.txt" |xargs rm -f

============================

恰好看見前同事有在寫這個，我也測一下。

GLQ = md5

/home/wwwroot/a.com/ GLQ

!/home/wwwroot/a.com/data/runtime/ 

!/home/wwwroot/a.com/(.*)\.log 

!/home/wwwroot/a.com/(.*)\.jpg

!/home/wwwroot/a.com/(.*)\.png

!/home/wwwroot/a.com/(.*)\.bmp

!/home/wwwroot/a.com/(.*)\.jpeg

!/home/wwwroot/a.com/(.*)\.git

!/home/wwwroot/a.com/(.*)\.txt