linux下系统级***检测工具AIDE

  AIDE(Adevanced Intrusion Detection Environment)全称高级***检测系统，它的主要原理就是经过一系列算法校验文件属性，来检测文件的完整性.第一次运行的时候它经过扫描文件系统，来构建文件属性数据库.而后它对照该数据库一旦定义被监控的文件属性发生变化时就发出警告.

 1.安装AIDE

   环境:centos6.4

   yum -y install aide

 2.第一次运行执行aide --init 初始化数据库

  

 3.根据/etc/aide.conf下面的配置文件,将生成的数据库文件重命名

   mv /var/lib/aide/aide.db.new.gz  /var/lib/aide/aide.db.gz

 4.删掉/root下面的website.data文件，运行aide测试

   rm -rf  website.dat

   aide

 

 经过结果能够看到，被删文件的详细操做信息

5.更新数据库，在生产环境中咱们时常要对文件作各类各样的操做，每次修改后都要更新aide数据库

  aide --update

  命令帮助上面写的检查和更新aide数据库，实际测试--update这个命令，没有更新数据库而是从新生成了一个aide.db.new.gz的数据库文件

AIDE的配置文件：/etc/aide.conf

指定数据文件目录、日志目录、数据文件名称、产生的新数据文件名称、是否压缩、日志级别

系统定义的几种监控规则，这个能够本身定义

p-权限，i-inode节点，n-连接数量，u-全部者，g-所属组，acl-acl权限，m-修改时间

对目录指定监控规则，！表示忽略子目录或目录中的文件