安全运维利器:文件系统检测工具AIDE

Frieda ·
更新时间:2024-11-15
· 671 次阅读

  AIDE(Advanced Intrusion Detection Environment)是一款针对文件和目录进行完整性对比检查的程序,它被开发成Tripwire的一个替代品。

  AIDE如何工作   这款工具年纪也不小了,相对来同类工具Tripwire说,它的操作也更加简单。它需要对系统做快照,记录下HASH值,修改时间,以及管理员对文件做的预处理。这个快照可以让管理员建立一个数据库,然后存储到外部设备进行保管。   当管理员想要对系统进行一个完整性检测时,管理员会将之前构建的数据库放置一个当前系统可访问的区域,然后用AIDE将当前系统的状态和数据库进行对比,后将检测到的当前系统的变更情况报告给管理员。另外,AIDE可以配置为定时运行,利用cron等日程调度技术,每日对系统进行检测报告。   这个系统主要用于运维安全检测,AIDE会向管理员报告系统里所有的恶意更迭情况。   AIDE的特性   支持消息摘要算法:md5, sha1, rmd160, tiger, crc32, sha256, sha512, whirlpool   支持文件属性:文件类型,文件权限,索引节点,UID,GID,链接名称,文件大小,块大小,链接数量,Mtime,Ctime,Atime   支持Posix ACL,SELinux,XAttrs,扩展文件系统属性   纯文本的配置文件,精简型的数据库   强大的正则表达式,轻松筛选要监视的文件和目录   支持Gzip数据库压缩   独立二进制静态编译的客户端/服务器监控配置   许多Linux发行版里其实也带AIDE的源,你可以输入aptitude install aide直接安装它。



运维 安全运维 aide 系统

需要 登录 后方可回复, 如果你还没有账号请 注册新账号