使用AIDE作Linux高级入侵检测文件监控

yum install aide -y  //epel

 cp /etc/aide.conf{,.bk}

/etc/aide.conf  //配置文件

#初始化监控数据库(这须要一些时间)

/usr/sbin/aide -c /etc/aide.conf -i

#把当前初始化的数据库做为开始的基础数据库

cp /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

#若是是正常的改动 更新改动到基础数据库

aide -u

cd /var/lib/aide/

#覆盖替换旧的数据库

mv aide.db.new.gz aide.db.gz

#在终端中查看检测结果

aide -C

#检查文件改动 保存到文件

aide -C --report=file:/tmp/aide-report-`date +%Y%m%d`.txt

#定时任务执行aide检测报告和自动邮件发送aide检测报告

crontab -e

* */2 * * * root /usr/sbin/aide -C | /bin/mail -s "AIDE REPORT" name@mail.com  >/dev/null 2>&1

常见错误

aide error on starting prelink undo

prelink -a //或者修改配置文件，不去监控系统那些复杂的七七八八的文件/目录

#定时任务每2个小时都会发送一份正常的报告，很烦，改一下，有出现不一样的再发送。

00 */2 * * * root /bin/sh /root/sh/aide.sh >/dev/null 2>&1

#!/bin/bash

aide -C --report=file:/tmp/aide-report-`date +%Y%m%d`.txt

grep differences /tmp/aide-report-`date +%Y%m%d`.txt

if [ $? -eq 0 ];then

  /usr/sbin/aide -C | /bin/mail -s "AIDE REPORT" gao@139.com 

fi

find /tmp/ -name "aide-report-`date -d '7 days ago' +%Y%m%d`.txt" |xargs rm -f

============================

恰好看见前同事有在写这个，我也测一下。

GLQ = md5

/home/wwwroot/a.com/ GLQ

!/home/wwwroot/a.com/data/runtime/ 

!/home/wwwroot/a.com/(.*)\.log 

!/home/wwwroot/a.com/(.*)\.jpg

!/home/wwwroot/a.com/(.*)\.png

!/home/wwwroot/a.com/(.*)\.bmp

!/home/wwwroot/a.com/(.*)\.jpeg

!/home/wwwroot/a.com/(.*)\.git

!/home/wwwroot/a.com/(.*)\.txt