linux系统mysql入侵_Linux最强免费入侵检测工具，只需3步随时监测数据安全！-优快云博客

本文链接：https://blog.youkuaiyun.com/weixin_30802125/article/details/113901631

互联网高速发展的今天，每天网络环境中都会产生数以亿计的攻击。严重的网络崩溃，亦或网页被篡改，使得企业互联网业务瘫痪。作为一名合格的Linux运维程序员，你是如何察觉互联网业务已遭受攻击的呢？今天就跟大家推荐一个能够随时检测Linux入侵的小工具~

AIDE(Advanced Intrusion Detection Environment)是一款针对文件和目录进行完整性对比检查的程序，是Tripwire的一个替代品。

AIDE检测原理

AIDE通过构造指定文件的完整性样本库(快照)，作为比对标准，当这些文件发生改动时，其对应的校验值也必然随之变化，AIDE可以识别这些变化从而提醒管理员。AIDE监控的属性变化主要包括：权限、属主、属组、文件大小、创建时间、最后修改时间、最后访问时间、增加的大小以及链接数，并能够使用SHA1、MD5等算法为每个文件生成校验码。AIDE还可以配置为定时运行，利用cron等日程调度技术，每日对系统进行检测报告。这个系统主要用于运维安全检测，AIDE会向管理员报告系统里所有的恶意更迭情况。

165350102_1_20190706063742379

AIDE的特性支持消息摘要算法：md5, sha1, rmd160, tiger, crc32, sha256, sha512, whirlpool

支持文件属性：文件类型，文件权限，索引节点，UID，GID，链接名称，文件大小，块大小，链接数量，Mtime，Ctime，Atime

支持Posix ACL，SELinux，XAttrs，扩展文件系统属性

纯文本的配置文件，精简型的数据库

强大的正则表达式，轻松筛选要监视的文件和目录

支持Gzip数据库压缩

独立二进制静态编译的客户端/服务器监控配置装

一、AIDE安装和配置

1.1 安装AIDE软件

[root@localhost ~]#yum install aide

165350102_2_20190706063742504

1.2 修改配置文件[root@localhost ~]#vim /etc/aide.confdatabase=file:@@{DBDIR}/aide.db.gz #系统镜像库位置database_out=file:@@{DBDIR}/aide.db.new.gz #新生成系统镜像库，默认在/var/lib/aide/下# Next decide whatdirectories/files you want in the database./boot NORMAL/bin NORMAL/sbin NORMAL/lib NORMAL/lib64 NORMAL#/opt NORMAL #注释不检查目录/usr NORMAL/root NORMAL# These are too volatile ，排除掉个别不检查的目录!/usr/src!/usr/tmp#根据需求在下面添加新的检测目录/etc/exports NORMAL/etc/fstab NORMAL/etc/passwd NORMA

165350102_3_20190706063742613

1.3 配置文件详解

165350102_4_20190706063742785

二、AIDE使用

2.1 定义规则

编辑配置文件/etc/adie.conf,定义一个规则变量mon，监控/app目录下所有文件，不监控/app目录下的log文件。

[root@localhost ~]# vim /etc/aide.conf mon = p+u+g+sha512+m+a+c /app mon !/app/*.log

165350102_5_201907060637434

2.2 创建数据库

生成数据库文件，在配置文件中定义各文件计算各校验码放入数据库中，用于以后比对。从提示中看出生成了一个/var/lib/aide/aide.db.new.gz数据库文件，这个数据库文件为初始数据库，如果进行入侵检测将与/var/lib/aide/aide.db.gz数据库文件作比对，如果发现两个数据库不一致则提示被入侵。[root@localhost ~]# aide --initAIDE, version 0.15.1### AIDE database at /var/lib/aide/aide.db.new.gz initialized.

165350102_6_20190706063743175