本文详细介绍AIDE(高级入侵检测环境)的安装步骤及配置方法,包括在CentOS和Debian系统上的安装过程,以及如何设置监控目录,生成和对比系统镜像,帮助维护系统文档的完整性。
AIDE(Advanced Intrusion Detection Environment,高级入侵检测环境)是个入侵检测工具,主要用途是检查文档的完整性。
它通过系统的“缩影”来进行对比,将期间的操作记录清楚的继续下来。比如说一个黑客在你的服务器里做了一些手脚,或者抓你的服务器去当矿工了,如果有了aide,进过对比就会知道操作记录,从而知道对方增、删、改、查了什么文件,这样修改回来就可以了;
下面来说aide的安装:
如果是centos系统的话,更新yum源后直接 yum install aide -y 就可以了;这样的安装,配置文件在/etc/aide.cconf;
当时公司使用的debian,其实apt-get install aide安装是可以的,但是在使用过程中多多少少出现了一些问题(其实是系统和安装包的问题),就使用安装包的方式安装了;
需要的包:flex、bison、mhash、zlib;
我这里下载了一个mhash包,其他的都是源直接安装的。
tar xzvf mhash-0.9.9.9.tar.gz //解压安装包
cd mhash-0.9.9.9/ //进入解压出来的目录
./configure //执行configure
make //make编译
make install //安装
ok,现在已经安装好mhash包了,再来安装其他的。
apt-get install bison*
如果install安装不成功的话就使用 aptitude install bison 进行安装;
我在用install安装的时候就报错了,使用aptitude install bison可以进行智能安装,如果没有aptitude命令install安装一下就ok了;
apt-get install flex -y
apt-get install zlib*
安装zlib的时候包太多,解压下来大概有800+MB,所以事先看看好自己的硬盘容量;
tar xzvf aide-0.15.1.tar.gz //解压下载的aide包
cd aide-0.15.1/ //进入解压的目录
./configure --prefix=/usr/local/aide --with-mhash //指定安装目录和相关包
make //make 编译
make install //安装
我的是安装在/usr/local/aide下的;
在 /usr/local/aide/ 下新建etc文件夹:
mkdir etc //新建etc文件夹用于存放配置文件
进入 aide-0.15.1/ 解压包里的doc文件夹,将aide.conf配置文件拷贝到 /usr/local/aide/etc/下,
cp aide-0.15.1/doc/aide.conf /usr/local/aide/etc/
将aide的可执行文件复制到/bin下,方便命令的使用,不过这个好像还是不好用,不如用 /usr/local/aide/bin 下的aide:
cp /usr/local/aide /bin
配置aide.conf文件,找到下面参数,修改如下:
database=file:/usr/local/aide/aide.db.gz #生成的系统镜像目录和格式
database_out=file:/usr/local/aide/aide.db.new.gz #新生成的系统镜像目录和格式
在最后添加如下(这些是要监控或者说是要生成系统镜像的目录):
/bin R
/sbin R
/usr R
/etc R
/tmp R
/root R
完成配置之后就可以使用了:
执行 /usr/local/aide/bin/aide --init 或者 /usr/local/aide/bin/aide -i 生成系统镜像
(总感觉这么说不对劲,镜像......(⊙o⊙)…)
这时 /usr/local/aide/下会有一个aide.db.new.gz文件,
需要修改一下: mv aide.db.new.gz aide.db.gz //这样就从新的系统镜像变成了系统镜像,哈哈......
aide.db.gz文件就相当于记录了系统当时的属性,如果配置文件里的那些文件夹有任何改动的话都会发现。
执行 usr/local/aide/bin/aide -C 就可以了,这个C是大写的!
等待输出结果就ok了,自己可以测试下;
扫一扫
7万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
