Red Hat Training

A Red Hat training course is available for RHEL 8

第 10 章 使用 AIDE 检查完整性

高级入侵检测环境(Advanced Intrusion Detection Environment,简称 AIDE)是一个实用工具,它可以创建系统上的文件数据库,然后利用该数据库来确保文件的完整性,并检测系统入侵。

10.1. 安装 AIDE

安装 AIDE 并启动其数据库需要执行下列步骤。

先决条件

  • AppStream存储库已启用。

流程

  1. 安装 aide 软件包:

    # yum install aide
  2. 生成初始数据库:

    # aide --init
    注意

    在默认配置中,aide --init 命令只检查 /etc/aide.conf 文件中定义的一组目录和文件。要在 AIDE 数据库中包含其他目录或文件,并更改其监视的参数,请相应地编辑 /etc/aide.conf

  3. 要开始使用数据库,请从初始数据库文件名中删除 .new 子字符串:

    # mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
  4. 要修改 AIDE 数据库的位置,请编辑 /etc/aide.conf 文件并修改 DBDIR 值。要获得额外的安全性,请将数据库、配置和 /usr/sbin/aide 二进制文件存储在安全的位置,如只读介质。