ubuntu系統如何配置***檢測系統AIDE？

服務器因爲對互聯網提供服務，因此面臨這各類各樣的安全問題，******並篡改文件是比較常見的服務器風險。因此，對系統的重要文件進行完整性監視並及時發出預警，是確保服務器安全的一個重要手段。

對於大型解決方案，建議使用知名的工具，如Tripwire Enterprise。然而，許多中小型公司可能沒法負擔這一費用。那麼，企業能夠用什麼來知足這一要求呢？AIDE（高級***檢測環境）是一個不錯的選擇。

AIDE是一個很是簡單（但功能強大）的程序，它從cron運行，檢查您的文件（一般是一個晚上一次），它將掃描您的系統，尋找其監視的目錄中的任何更改。AIDE根據從配置文件中找到的正則表達式規則建立一個數據庫。一旦這個數據庫被初始化，它就能夠用來驗證文件的完整性。

在基於Ubuntu或Debian的系統上，您能夠經過如下方式安裝

apt-get install aide

如今要設置一些基本配置，如電子郵件通知、更新類型等，能夠參考如下內容修改，具體含義配置文件有說明：:

vim /etc/default/aide

...

FQDN=web01.domain.com
MAILSUBJ="Daily AIDE report for $FQDN"
QUIETREPORTS=no
COMMAND=update
COPYNEWDB=yes...

Debian/Ubuntu配置AIDE的方法與CentOS/RHEL稍有些不一樣。全部配置文件都駐留在/etc/aide/aide.conf.d/，文件的編號被AIDE用來決定處理這些文件的順序。安裝時內置了許多規則，也能夠用序號文件的方式建立自配置文件

不管什麼時候對AIDE配置進行更改，都須要重建AIDE運行時配置，並初始化數據庫。

update-aide.conf

aideinit -y -f

如今好比對/etc/hosts進行修改,而後運行aide看看它是否檢測到了變化，並經過電子郵件發送報告

/etc/cron.daily/aide

若是您只想快速測試AIDE，則能夠經過如下方式執行一次性掃描:

aide.wrapper

要接收每夜的AIDE報告，不須要進一步配置，由於Ubuntu/Debian已經設置了一個cron做業。

.

下面是AIDE的一個報告樣本:

Start timestamp: 2016-03-07 13:16:35

Summary:
Total number of files: 77937
Added files: 2
Removed files: 3
Changed files: 7

---

Added files:

f++++++++++++++++: /var/log/aide/aide.log.0
d++++++++++++++++: /var/www/vhosts/domain.com/new

---

Removed files:

f----------------: /var/www/vhosts/domain.com/blah
f----------------: /var/www/vhosts/domain.com/test
d----------------: /var/www/vhosts/domain.com/test1

---

Changed files:

報告列出了文件的修改刪除等操做，根據這個報告來判斷是否是本身修改的，這有助於您採起主動的安全方法。