第 7 章 用AIDE检查完整性

高级入侵检测环境(Advanced Intrusion Detection Environment,简称 AIDE)是一个实用工具,它可以创建系统上的文件数据库,然后利用该数据库来确保文件的完整性,并检测系统入侵。

7.1. 安装AIDE

以下是安装AIDE和启动其数据库的必要步骤。

先决条件

  • AppStream存储库已启用。

流程

  1. 要安装助手包。

    # yum install aide
  2. 要生成初始数据库。

    # aide --init
    注意

    在默认配置中,aide --init命令只检查/etc/aide.conf文件中定义的一组目录和文件。要在AIDE数据库中加入额外的目录或文件,并相应地更改它们的监视参数,请编辑/etc/aide.conf

  3. 要开始使用数据库,请从初始数据库文件名中删除.new子串。

    # mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
  4. 要改变AIDE数据库的位置,请编辑/etc/aide.conf文件并修改DBDIR值。为了提高安全性,请将数据库、配置和/usr/sbin/aide二进制文件存储在一个安全的位置,如只读媒体。

7.2. 用AIDE进行完整性检查

先决条件

流程

  1. 要启动手动检查:

    # aide --check
    Start timestamp: 2018-07-11 12:41:20 +0200 (AIDE 0.16)
    AIDE found differences between database and filesystem!!
    ...
    [trimmed for clarity]
  2. 至少应将AIDE配置为每周运行一次扫描。最多,AIDE应该每天运行。例如,如果要使用cron命令安排每天凌晨04:05执行AIDE,请在/etc/crontab文件中添加以下一行。

     05 4 * * * root /usr/sbin/aide --check

7.3. 更新AIDE数据库

在验证了您的系统变化后,如软件包更新或配置文件调整,建议更新您的基线AIDE数据库。

先决条件

流程

  1. 更新您的基线AIDE数据库。

    # aide --update

    aide --update命令可以创建/var/lib/aide.db.new.gz数据库文件。

  2. 要开始使用更新的数据库进行完整性检查,请从文件名中删除.new子串。

为了尽快向用户提供最新的信息,本文档可能会包括由机器自动从英文原文翻译的内容。如需更多信息,请参阅此说明。