ubuntu系统如何配置***检测系统AIDE？

服务器因为对互联网提供服务，因此面临这各类各样的安全问题，******并篡改文件是比较常见的服务器风险。因此，对系统的重要文件进行完整性监视并及时发出预警，是确保服务器安全的一个重要手段。

对于大型解决方案，建议使用知名的工具，如Tripwire Enterprise。然而，许多中小型公司可能没法负担这一费用。那么，企业能够用什么来知足这一要求呢？AIDE（高级***检测环境）是一个不错的选择。

AIDE是一个很是简单（但功能强大）的程序，它从cron运行，检查您的文件（一般是一个晚上一次），它将扫描您的系统，寻找其监视的目录中的任何更改。AIDE根据从配置文件中找到的正则表达式规则建立一个数据库。一旦这个数据库被初始化，它就能够用来验证文件的完整性。

在基于Ubuntu或Debian的系统上，您能够经过如下方式安装

apt-get install aide

如今要设置一些基本配置，如电子邮件通知、更新类型等，能够参考如下内容修改，具体含义配置文件有说明：:

vim /etc/default/aide

...

FQDN=web01.domain.com
MAILSUBJ="Daily AIDE report for $FQDN"
QUIETREPORTS=no
COMMAND=update
COPYNEWDB=yes...

Debian/Ubuntu配置AIDE的方法与CentOS/RHEL稍有些不一样。全部配置文件都驻留在/etc/aide/aide.conf.d/，文件的编号被AIDE用来决定处理这些文件的顺序。安装时内置了许多规则，也能够用序号文件的方式建立自配置文件

不管什么时候对AIDE配置进行更改，都须要重建AIDE运行时配置，并初始化数据库。

update-aide.conf

aideinit -y -f

如今好比对/etc/hosts进行修改,而后运行aide看看它是否检测到了变化，并经过电子邮件发送报告

/etc/cron.daily/aide

若是您只想快速测试AIDE，则能够经过如下方式执行一次性扫描:

aide.wrapper

要接收每夜的AIDE报告，不须要进一步配置，由于Ubuntu/Debian已经设置了一个cron做业。

.

下面是AIDE的一个报告样本:

Start timestamp: 2016-03-07 13:16:35

Summary:
Total number of files: 77937
Added files: 2
Removed files: 3
Changed files: 7

---

Added files:

f++++++++++++++++: /var/log/aide/aide.log.0
d++++++++++++++++: /var/www/vhosts/domain.com/new

---

Removed files:

f----------------: /var/www/vhosts/domain.com/blah
f----------------: /var/www/vhosts/domain.com/test
d----------------: /var/www/vhosts/domain.com/test1

---

Changed files:

报告列出了文件的修改删除等操做，根据这个报告来判断是否是本身修改的，这有助于您采起主动的安全方法。