AIDE 文件完整性檢測

AIDE 概念：

AIDE：Advanced Intrusion Detection Environment，是一款入侵檢測工具，主要用途是檢查文檔的完整性。AIDE在本地構造了一個基準的數據庫，一旦操做系統被入侵，能夠經過對比基準數據庫而獲取文件變動記錄，使用aide.conf做爲其配置文檔。AIDE數據庫可以保存文檔的各類屬性，包括：權限(permission)、索引節點序號(inode number)、所屬用戶(user)、所屬用戶組(group)、文檔大小、最後修改時間(mtime)、建立時間(ctime)、最後訪問時間(atime)、增長的大小連同鏈接數。AIDE還可以使用下列算法：sha一、md五、rmd160、tiger，以密文形式創建每一個文檔的校驗碼或散列號。

安裝：

[root@ecs-proxy ~]# yum -y install aide

能夠根據需求修改配置文件對指定的文件進行檢測

[root@ecs-proxy ~]# vim /etc/aide.conf

# Example configuration file for AIDE.

@@define DBDIR /var/lib/aide    //數據庫目錄
@@define LOGDIR /var/log/aide    //日誌目錄

# The location of the database to be read.
database=file:@@{DBDIR}/aide.db.gz    //數據文件
...
# These are the default rules.    //默認規則
#
#p:      permissions
#i:      inode:
#n:      number of links
#u:      user
#g:      group
#s:      size
#b:      block count
#m:      mtime
#a:      atime
#c:      ctime
#S:      check for growing size
#acl:           Access Control Lists
#selinux        SELinux security context
#xattrs:        Extended file attributes
#md5:    md5 checksum
#sha1:   sha1 checksum
#sha256:        sha256 checksum
#sha512:        sha512 checksum
#rmd160: rmd160 checksum
#tiger:  tiger checksum

#haval:  haval checksum (MHASH only)
#gost:   gost checksum (MHASH only)
#crc32:  crc32 checksum (MHASH only)
#whirlpool:     whirlpool checksum (MHASH only)

FIPSR = p+i+n+u+g+s+m+c+acl+selinux+xattrs+sha256    //對多個規則進行定義 方便使用
...
# matches. e.g. Put file matches before directories.

/boot/   CONTENT_EX    //目錄   校驗規則
/bin/    CONTENT_EX
/sbin/   CONTENT_EX
/lib/    CONTENT_EX
/lib64/  CONTENT_EX
/opt/    CONTENT

# Admin's dot files constantly change, just check perms.
/root/\..* PERMS
# Otherwise get all of /root.
/root/   CONTENT_EX

# These are too volatile.
!/usr/src/    //使用！表示不校驗的目錄
!/usr/tmp/
# Otherwise get all of /usr.
/usr/    CONTENT_EX

初始化數據庫

[root@ecs-proxy ~]# aide -i    //初始化

AIDE, version 0.15.1

### AIDE database at /var/lib/aide/aide.db.new.gz initialized.

注：爲了節約實驗時間 配置文件只對/etc/passwd文件進行驗證

[root@ecs-proxy ~]# cd /var/lib/aide/
[root@ecs-proxy aide]# ls
aide.db.new.gz
[root@ecs-proxy aide]# cp aide.db.new.gz aide.db.gz     //生產環境確定要拷貝到U盤或其餘安全地方 這裏爲方便測試
[root@ecs-proxy aide]# ls
aide.db.gz  aide.db.new.gz
[root@ecs-proxy aide]# aide --check    //進行校驗 （此時文件沒有進行任何改動）

AIDE, version 0.15.1

### All files match AIDE database. Looks okay!    //驗證OK

[root@ecs-proxy aide]# useradd oschina    //添加用戶 模擬異常

[root@ecs-proxy aide]# aide --check    //檢測
AIDE 0.15.1 found differences between database and filesystem!!    //檢測到異常
Start timestamp: 2020-04-23 21:57:08

Summary:
  Total number of files:    7
  Added files:            0
  Removed files:        0
  Changed files:        2

---------------------------------------------------
Changed files:
---------------------------------------------------

changed: /etc/passwd
changed: /etc/passwd-

---------------------------------------------------
Detailed information about changes:
---------------------------------------------------

File: /etc/passwd
 SHA256   : I8k7bYNV4NC/tmL973Wd3V2l5DxgQ+1g , zvNQgkGiCAAiOJRH+8/UObOvxbcwm57S

File: /etc/passwd-
 SHA256   : h44uH2sHDZCK7hhesyU0yW2msG3U05Lq , I8k7bYNV4NC/tmL973Wd3V2l5DxgQ+1g
[root@ecs-proxy aide]# 

若是文件修改，對AIDE數據庫進行更新

　　aide   --update 或 aide  -u