Skip to content

Aide基于文件入侵检测系统

Aide:advance intrusion detection environment 高级入侵检测系统

官网地址

Centos7安装与配置

# yum直接安装aide
yum install aide.x86_64 -y

配置Aide

vim /etc/aide.conf

# 规则说明
p: 权限
i: 索引节点
n: 链接数
u: 用户
g: 用户组
s: 大小
m: 修改时间
c: 创建时间
acl: 访问控制列表
selinux: SELinux
xattrs: xattr权限
sha256/sha512: SHA256或SHA512

# 条目之前的!代表忽略子目录或目录中的文件。

常见保护规则

  • FIPSR:
  • ALLXTRAHASHES:
  • EVERYTHING:
  • NORMAL:
  • DIR:
  • PERMS:
  • STATIC:
  • LOG:
  • CONTENT:
  • CONTENT_EX:
  • DATAONLY

使用Aide

# 初始化数据库
aide -i

# 将初始化数据库重命名,数据库中记录的信息以初始化数据库时系统信息为准,如果系统发生正常变化,可以从新进行初始化。
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

# 执行检查
aide -C

# 更新数据库
aide -u
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

# 检查配置文件是否正确
aide -D

参考资料

在CentOS上配置基于主机的入侵检测系统(IDS)