CentOS7下的AIDE入侵检测配置

一、AIDE的概念

AIDE：Advanced Intrusion Detection Environment，是一款入侵检测工具，主要用途是检查文档的完整性。AIDE在本地构造了一个基准的数据库，一旦操作系统被入侵，可以通过对比基准数据库而获取文件变更记录，使用aide.conf作为其配置文档。AIDE数据库能够保存文档的各种属性，包括：权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文档大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小连同连接数。

一旦出现AIDE监控的文件被篡改的情况，AIDE会触发告警，通知管理员。

AIDE还能够使用下列算法：sha1、md5、rmd160、tiger，以密文形式建立每个文档的校验码或散列号。

二、AIDE使用

1.安装aide

yum install aide -y

2.配置文件所在路径：/etc/aide.conf

3.对AIDE的配置文件进行检测：aide -D

4.生成出初化数据库 ，初始化的时间会比较长，耐心等待下

[root@dn3 data]# aide -i

AIDE, version 0.15.1

### AIDE database at /var/lib/aide/aide.db.new.gz initialized.

5.根据/etc/aide.conf生成的/var/lib/aide/aide.db.new.gz文件需要重命名

为/var/lib/aide/aide.db.gz，以便让AIDE能读取它

[root@dn3 data]# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

6.测试

[root@dn3 data]# useradd testuser
[root@dn3 data]# aide --check
AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2019-10-29 16:35:28

Summary:
  Total number of files:	95725
  Added files:			0
  Removed files:		0
  Changed files:		4

---------------------------------------------------
Changed files:
---------------------------------------------------

changed: /etc/group
changed: /etc/gshadow
changed: /etc/passwd
changed: /etc/shadow

---------------------------------------------------
Detailed information about changes:
---------------------------------------------------

File: /etc/group
 SHA256   : yZ/21UtpjvtbBFZI8OCBI5lFen18NqOP , IN4wf1cO7pp2zcBZE4/8yIQJgli7yVC9

File: /etc/gshadow
 SHA256   : LOVTeRzPtDg0yWP0Uy4BtGmdqijoejTG , MFVP/0h6Z2hnWHVA6xxyiE5lq+y9Pgja

File: /etc/passwd
 SHA256   : lo4jBqEuFkXNTPKUly4p7JgvdYmxC5cs , inMl1ANze1iVnQJuwB77/5fr3t7ipdCt

File: /etc/shadow
 SHA256   : aNoUf7Vi/+Bjm+pRS6qs8EqNJZi0BiGl , yaGdWHRor2m+c4V4Woph7D5Kk3NKe6dA