AIDE入侵检测系统

一、AIDE简介

• AIDE(Advanced Intrusion Detection Environment)
• 高级入侵检测环境)是一个入侵检测工具，主要用途是检查文件的完整性，审计计算机上的那些文件被更改过了。
• AIDE能够构造一个指定文件的数据库，它使用aide.conf作为其配置文件。AIDE数据库能够保存文件的各种属性，包括：权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文件大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小以及连接数。AIDE还
能够使用下列算法：sha1、md5、rmd160、tiger，以密文形式建立每个文件的校验码或散列号.
• 不应该对那些经常变动的文件进行检测，例如：日志文件、邮件、/proc文件系统、用户起始目录以及临时目录.

二、安装配置

1、安装

yum install -y aide

查看安装生成的文件

1. [root@newhostname ~]# rpm -ql aide
2. /etc/aide.conf #配置文件
3. /etc/logrotate.d/aide
4. /usr/sbin/aide #2进制文件
5. /usr/share/doc/aide-0.15.1
6. /usr/share/doc/aide-0.15.1/AUTHORS
7. /usr/share/doc/aide-0.15.1/COPYING
8. /usr/share/doc/aide-0.15.1/ChangeLog
9. /usr/share/doc/aide-0.15.1/NEWS
10. /usr/share/doc/aide-0.15.1/README
11. /usr/share/doc/aide-0.15.1/README.quickstart
12. /usr/share/doc/aide-0.15.1/contrib
13. /usr/share/doc/aide-0.15.1/contrib/aide-attributes.sh
14. /usr/share/doc/aide-0.15.1/contrib/bzip2.sh
15. /usr/share/doc/aide-0.15.1/contrib/gpg2_check.sh
16. /usr/share/doc/aide-0.15.1/contrib/gpg2_update.sh
17. /usr/share/doc/aide-0.15.1/contrib/gpg_check.sh
18. /usr/share/doc/aide-0.15.1/contrib/gpg_update.sh
19. /usr/share/doc/aide-0.15.1/contrib/sshaide.sh
20. /usr/share/doc/aide-0.15.1/manual.html
21. /usr/share/man/man1/aide.1.gz
22. /usr/share/man/man5/aide.conf.5.gz
23. /var/lib/aide #aide的数据库文件
24. /var/log/aide #aide的日志

2、配置aide

首先我们先查看aide的配置文件 /etc/aide.conf

1. @@define DBDIR /var/lib/aide
2. @@define LOGDIR /var/log/aide
4. 表示定义了两个变量，下面会直接引用这两个变量 DBDIR LOGDIR
6. database=file:@@{DBDIR}/aide.db.gz 表示数据库的位置
8. database_out=file:@@{DBDIR}/aide.db.new.gz 表示检测的数据库的位置
10. report_url=file:@@{LOGDIR}/aide.log aide的日志文件
12. report_url=stdout 表示输出到屏幕
14. ---------------------------------------------------------------------
15. 再往下的配置文件定义，需要检测的文件的权限，默认配置文件中就有说明，这里不再赘述
17. ALLXTRAHASHES = sha1+rmd160+sha256+sha512+tiger
19. EVERYTHING = R+ALLXTRAHASHES
21. DIR = p+i+n+u+g+acl+selinux+xattrs
22. .
23. .
24. .
26. 这些表示定义一些权限的集合
29. /boot/ CONTENT_EX
30. /bin/ CONTENT_EX
31. /sbin/ CONTENT_EX
32. /lib/ CONTENT_EX
33. /lib64/ CONTENT_EX
34. /opt/ CONTENT
36. 这些是系统默认的检测的目录，其格式就是
37. 目录 权限的集合 #这里应该明白是什么意思吧，就是，一个目录对应要检测的权限项目，而这个权限项目可以通过变量自己定义，或者直接引用系统默认的选项都行
41. 在这个配置文件中我们只需要将我们需要特定的目录加以配置就可以了，就以/app为例
43. /app DIR #表示我们检测 /app 这个目录的 DIR 这些属性，当DIR这些属性发生变化时会报警。

现在我们来初始话aide的数据库

1. [root@newhostname etc]# aide --init #初始化数据库
3. AIDE, version 0.15.1
5. ### AIDE database at /var/lib/aide/aide.db.new.gz initialized.

现在我们修改一下/app下的数据

1. [root@newhostname etc]# cd /app/
2. [root@newhostname app]# ll
3. 总用量 28
4. -rw-r--r--. 1 root root 57 1月 7 21:21 fist.des3
5. -rw-r--r--. 1 root root 16 1月 6 19:44 fist_encrypt
6. -rw-r--r--. 1 root root 16 1月 7 21:21 new_file
7. -rw-r--r--. 1 root root 1679 1月 7 22:40 private_key
8. -rw-------. 1 root root 1679 1月 7 23:04 private_key.tmp
9. -rw-r--r--. 1 root root 451 1月 7 22:58 pub_key
10. -rw-r--r--. 1 root root 1679 1月 7 23:00 pub_key.tmp
11. [root@newhostname app]# chown apache.apache /app/fist.des3

我们修改了/app/fist.des3文件，现在我们使用aide来检测一下

1. [root@newhostname app]# ls /var/lib/aide/
2. aide.db.new.gz
3. [root@newhostname app]# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz 这里我们需要改名，为什么要改名，请看下上面配置文件的前两条
5. aide的原理就是，将新老两个数据进行对比，属性不一致的条目就报警。

1. [root@newhostname app]# aide --check
2. AIDE 0.15.1 found differences between database and filesystem!!
3. Start timestamp: 2018-01-10 21:30:42
5. Summary:
6. Total number of files: 239213
7. Added files: 0
8. Removed files: 0
9. Changed files: 1
12. ---------------------------------------------------
13. Changed files:
14. ---------------------------------------------------
16. changed: /app/fist.des3
18. ---------------------------------------------------
19. Detailed information about changes:
20. ---------------------------------------------------
23. File: /app/fist.des3
24. Uid : 0 , 48
25. Gid : 0 , 48
27. 已经检测除了我们改的那个文件的权限。

下一步，我们更新是当前数据库为最新数据

1. [root@newhostname app]# aide --update
2. AIDE 0.15.1 found differences between database and filesystem!!
3. Start timestamp: 2018-01-10 21:35:28
5. Summary:
6. Total number of files: 239213
7. Added files: 0
8. Removed files: 0
9. Changed files: 1
12. ---------------------------------------------------
13. Changed files:
14. ---------------------------------------------------
16. changed: /app/fist.des3
18. ---------------------------------------------------
19. Detailed information about changes:
20. ---------------------------------------------------
23. File: /app/fist.des3
24. Uid : 0 , 48
25. Gid : 0 , 48
27. update操作会生成一个新的aide.db.new.gz
28. 现在我们需要将旧库删除，将新库改名
31. -rw-------. 1 root root 9107067 1月 10 21:10 aide.db.gz
32. -rw-------. 1 root root 9107065 1月 10 21:38 aide.db.new.gz
33. [root@newhostname aide]# rm aide.db.gz
34. rm：是否删除普通文件 "aide.db.gz"？y
35. [root@newhostname aide]# mv aide.db.new.gz aide.db.gz

aide简单的配置就完成了

一、AIDE简介

• AIDE(Advanced Intrusion Detection Environment)
• 高级入侵检测环境)是一个入侵检测工具，主要用途是检查文件的完整性，审计计算机上的那些文件被更改过了。
• AIDE能够构造一个指定文件的数据库，它使用aide.conf作为其配置文件。AIDE数据库能够保存文件的各种属性，包括：权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文件大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小以及连接数。AIDE还
能够使用下列算法：sha1、md5、rmd160、tiger，以密文形式建立每个文件的校验码或散列号.
• 不应该对那些经常变动的文件进行检测，例如：日志文件、邮件、/proc文件系统、用户起始目录以及临时目录.

二、安装配置

1、安装

yum install -y aide

查看安装生成的文件

1. [root@newhostname ~]# rpm -ql aide
2. /etc/aide.conf #配置文件
3. /etc/logrotate.d/aide
4. /usr/sbin/aide #2进制文件
5. /usr/share/doc/aide-0.15.1
6. /usr/share/doc/aide-0.15.1/AUTHORS
7. /usr/share/doc/aide-0.15.1/COPYING
8. /usr/share/doc/aide-0.15.1/ChangeLog
9. /usr/share/doc/aide-0.15.1/NEWS
10. /usr/share/doc/aide-0.15.1/README
11. /usr/share/doc/aide-0.15.1/README.quickstart
12. /usr/share/doc/aide-0.15.1/contrib
13. /usr/share/doc/aide-0.15.1/contrib/aide-attributes.sh
14. /usr/share/doc/aide-0.15.1/contrib/bzip2.sh
15. /usr/share/doc/aide-0.15.1/contrib/gpg2_check.sh
16. /usr/share/doc/aide-0.15.1/contrib/gpg2_update.sh
17. /usr/share/doc/aide-0.15.1/contrib/gpg_check.sh
18. /usr/share/doc/aide-0.15.1/contrib/gpg_update.sh
19. /usr/share/doc/aide-0.15.1/contrib/sshaide.sh
20. /usr/share/doc/aide-0.15.1/manual.html
21. /usr/share/man/man1/aide.1.gz
22. /usr/share/man/man5/aide.conf.5.gz
23. /var/lib/aide #aide的数据库文件
24. /var/log/aide #aide的日志

2、配置aide

首先我们先查看aide的配置文件 /etc/aide.conf

1. @@define DBDIR /var/lib/aide
2. @@define LOGDIR /var/log/aide
4. 表示定义了两个变量，下面会直接引用这两个变量 DBDIR LOGDIR
6. database=file:@@{DBDIR}/aide.db.gz 表示数据库的位置
8. database_out=file:@@{DBDIR}/aide.db.new.gz 表示检测的数据库的位置
10. report_url=file:@@{LOGDIR}/aide.log aide的日志文件
12. report_url=stdout 表示输出到屏幕
14. ---------------------------------------------------------------------
15. 再往下的配置文件定义，需要检测的文件的权限，默认配置文件中就有说明，这里不再赘述
17. ALLXTRAHASHES = sha1+rmd160+sha256+sha512+tiger
19. EVERYTHING = R+ALLXTRAHASHES
21. DIR = p+i+n+u+g+acl+selinux+xattrs
22. .
23. .
24. .
26. 这些表示定义一些权限的集合
29. /boot/ CONTENT_EX
30. /bin/ CONTENT_EX
31. /sbin/ CONTENT_EX
32. /lib/ CONTENT_EX
33. /lib64/ CONTENT_EX
34. /opt/ CONTENT
36. 这些是系统默认的检测的目录，其格式就是
37. 目录 权限的集合 #这里应该明白是什么意思吧，就是，一个目录对应要检测的权限项目，而这个权限项目可以通过变量自己定义，或者直接引用系统默认的选项都行
41. 在这个配置文件中我们只需要将我们需要特定的目录加以配置就可以了，就以/app为例
43. /app DIR #表示我们检测 /app 这个目录的 DIR 这些属性，当DIR这些属性发生变化时会报警。

现在我们来初始话aide的数据库

1. [root@newhostname etc]# aide --init #初始化数据库
3. AIDE, version 0.15.1
5. ### AIDE database at /var/lib/aide/aide.db.new.gz initialized.

现在我们修改一下/app下的数据

1. [root@newhostname etc]# cd /app/
2. [root@newhostname app]# ll
3. 总用量 28
4. -rw-r--r--. 1 root root 57 1月 7 21:21 fist.des3
5. -rw-r--r--. 1 root root 16 1月 6 19:44 fist_encrypt
6. -rw-r--r--. 1 root root 16 1月 7 21:21 new_file
7. -rw-r--r--. 1 root root 1679 1月 7 22:40 private_key
8. -rw-------. 1 root root 1679 1月 7 23:04 private_key.tmp
9. -rw-r--r--. 1 root root 451 1月 7 22:58 pub_key
10. -rw-r--r--. 1 root root 1679 1月 7 23:00 pub_key.tmp
11. [root@newhostname app]# chown apache.apache /app/fist.des3

我们修改了/app/fist.des3文件，现在我们使用aide来检测一下

1. [root@newhostname app]# ls /var/lib/aide/
2. aide.db.new.gz
3. [root@newhostname app]# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz 这里我们需要改名，为什么要改名，请看下上面配置文件的前两条
5. aide的原理就是，将新老两个数据进行对比，属性不一致的条目就报警。

1. [root@newhostname app]# aide --check
2. AIDE 0.15.1 found differences between database and filesystem!!
3. Start timestamp: 2018-01-10 21:30:42
5. Summary:
6. Total number of files: 239213
7. Added files: 0
8. Removed files: 0
9. Changed files: 1
12. ---------------------------------------------------
13. Changed files:
14. ---------------------------------------------------
16. changed: /app/fist.des3
18. ---------------------------------------------------
19. Detailed information about changes:
20. ---------------------------------------------------
23. File: /app/fist.des3
24. Uid : 0 , 48
25. Gid : 0 , 48
27. 已经检测除了我们改的那个文件的权限。

下一步，我们更新是当前数据库为最新数据

1. [root@newhostname app]# aide --update
2. AIDE 0.15.1 found differences between database and filesystem!!
3. Start timestamp: 2018-01-10 21:35:28
5. Summary:
6. Total number of files: 239213
7. Added files: 0
8. Removed files: 0
9. Changed files: 1
12. ---------------------------------------------------
13. Changed files:
14. ---------------------------------------------------
16. changed: /app/fist.des3
18. ---------------------------------------------------
19. Detailed information about changes:
20. ---------------------------------------------------
23. File: /app/fist.des3
24. Uid : 0 , 48
25. Gid : 0 , 48
27. update操作会生成一个新的aide.db.new.gz
28. 现在我们需要将旧库删除，将新库改名
31. -rw-------. 1 root root 9107067 1月 10 21:10 aide.db.gz
32. -rw-------. 1 root root 9107065 1月 10 21:38 aide.db.new.gz
33. [root@newhostname aide]# rm aide.db.gz
34. rm：是否删除普通文件 "aide.db.gz"？y
35. [root@newhostname aide]# mv aide.db.new.gz aide.db.gz

aide简单的配置就完成了

一、AIDE简介

• AIDE(Advanced Intrusion Detection Environment)
• 高级入侵检测环境)是一个入侵检测工具，主要用途是检查文件的完整性，审计计算机上的那些文件被更改过了。
• AIDE能够构造一个指定文件的数据库，它使用aide.conf作为其配置文件。AIDE数据库能够保存文件的各种属性，包括：权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文件大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小以及连接数。AIDE还
能够使用下列算法：sha1、md5、rmd160、tiger，以密文形式建立每个文件的校验码或散列号.
• 不应该对那些经常变动的文件进行检测，例如：日志文件、邮件、/proc文件系统、用户起始目录以及临时目录.

二、安装配置

1、安装

yum install -y aide

查看安装生成的文件

1. [root@newhostname ~]# rpm -ql aide
2. /etc/aide.conf #配置文件
3. /etc/logrotate.d/aide
4. /usr/sbin/aide #2进制文件
5. /usr/share/doc/aide-0.15.1
6. /usr/share/doc/aide-0.15.1/AUTHORS
7. /usr/share/doc/aide-0.15.1/COPYING
8. /usr/share/doc/aide-0.15.1/ChangeLog
9. /usr/share/doc/aide-0.15.1/NEWS
10. /usr/share/doc/aide-0.15.1/README
11. /usr/share/doc/aide-0.15.1/README.quickstart
12. /usr/share/doc/aide-0.15.1/contrib
13. /usr/share/doc/aide-0.15.1/contrib/aide-attributes.sh
14. /usr/share/doc/aide-0.15.1/contrib/bzip2.sh
15. /usr/share/doc/aide-0.15.1/contrib/gpg2_check.sh
16. /usr/share/doc/aide-0.15.1/contrib/gpg2_update.sh
17. /usr/share/doc/aide-0.15.1/contrib/gpg_check.sh
18. /usr/share/doc/aide-0.15.1/contrib/gpg_update.sh
19. /usr/share/doc/aide-0.15.1/contrib/sshaide.sh
20. /usr/share/doc/aide-0.15.1/manual.html
21. /usr/share/man/man1/aide.1.gz
22. /usr/share/man/man5/aide.conf.5.gz
23. /var/lib/aide #aide的数据库文件
24. /var/log/aide #aide的日志

2、配置aide

首先我们先查看aide的配置文件 /etc/aide.conf

1. @@define DBDIR /var/lib/aide
2. @@define LOGDIR /var/log/aide
4. 表示定义了两个变量，下面会直接引用这两个变量 DBDIR LOGDIR
6. database=file:@@{DBDIR}/aide.db.gz 表示数据库的位置
8. database_out=file:@@{DBDIR}/aide.db.new.gz 表示检测的数据库的位置
10. report_url=file:@@{LOGDIR}/aide.log aide的日志文件
12. report_url=stdout 表示输出到屏幕
14. ---------------------------------------------------------------------
15. 再往下的配置文件定义，需要检测的文件的权限，默认配置文件中就有说明，这里不再赘述
17. ALLXTRAHASHES = sha1+rmd160+sha256+sha512+tiger
19. EVERYTHING = R+ALLXTRAHASHES
21. DIR = p+i+n+u+g+acl+selinux+xattrs
22. .
23. .
24. .
26. 这些表示定义一些权限的集合
29. /boot/ CONTENT_EX
30. /bin/ CONTENT_EX
31. /sbin/ CONTENT_EX
32. /lib/ CONTENT_EX
33. /lib64/ CONTENT_EX
34. /opt/ CONTENT
36. 这些是系统默认的检测的目录，其格式就是
37. 目录 权限的集合 #这里应该明白是什么意思吧，就是，一个目录对应要检测的权限项目，而这个权限项目可以通过变量自己定义，或者直接引用系统默认的选项都行
41. 在这个配置文件中我们只需要将我们需要特定的目录加以配置就可以了，就以/app为例
43. /app DIR #表示我们检测 /app 这个目录的 DIR 这些属性，当DIR这些属性发生变化时会报警。

现在我们来初始话aide的数据库

1. [root@newhostname etc]# aide --init #初始化数据库
3. AIDE, version 0.15.1
5. ### AIDE database at /var/lib/aide/aide.db.new.gz initialized.

现在我们修改一下/app下的数据

1. [root@newhostname etc]# cd /app/
2. [root@newhostname app]# ll
3. 总用量 28
4. -rw-r--r--. 1 root root 57 1月 7 21:21 fist.des3
5. -rw-r--r--. 1 root root 16 1月 6 19:44 fist_encrypt
6. -rw-r--r--. 1 root root 16 1月 7 21:21 new_file
7. -rw-r--r--. 1 root root 1679 1月 7 22:40 private_key
8. -rw-------. 1 root root 1679 1月 7 23:04 private_key.tmp
9. -rw-r--r--. 1 root root 451 1月 7 22:58 pub_key
10. -rw-r--r--. 1 root root 1679 1月 7 23:00 pub_key.tmp
11. [root@newhostname app]# chown apache.apache /app/fist.des3

我们修改了/app/fist.des3文件，现在我们使用aide来检测一下

1. [root@newhostname app]# ls /var/lib/aide/
2. aide.db.new.gz
3. [root@newhostname app]# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz 这里我们需要改名，为什么要改名，请看下上面配置文件的前两条
5. aide的原理就是，将新老两个数据进行对比，属性不一致的条目就报警。

1. [root@newhostname app]# aide --check
2. AIDE 0.15.1 found differences between database and filesystem!!
3. Start timestamp: 2018-01-10 21:30:42
5. Summary:
6. Total number of files: 239213
7. Added files: 0
8. Removed files: 0
9. Changed files: 1
12. ---------------------------------------------------
13. Changed files:
14. ---------------------------------------------------
16. changed: /app/fist.des3
18. ---------------------------------------------------
19. Detailed information about changes:
20. ---------------------------------------------------
23. File: /app/fist.des3
24. Uid : 0 , 48
25. Gid : 0 , 48
27. 已经检测除了我们改的那个文件的权限。

下一步，我们更新是当前数据库为最新数据

1. [root@newhostname app]# aide --update
2. AIDE 0.15.1 found differences between database and filesystem!!
3. Start timestamp: 2018-01-10 21:35:28
5. Summary:
6. Total number of files: 239213
7. Added files: 0
8. Removed files: 0
9. Changed files: 1
12. ---------------------------------------------------
13. Changed files:
14. ---------------------------------------------------
16. changed: /app/fist.des3
18. ---------------------------------------------------
19. Detailed information about changes:
20. ---------------------------------------------------
23. File: /app/fist.des3
24. Uid : 0 , 48
25. Gid : 0 , 48
27. update操作会生成一个新的aide.db.new.gz
28. 现在我们需要将旧库删除，将新库改名
31. -rw-------. 1 root root 9107067 1月 10 21:10 aide.db.gz
32. -rw-------. 1 root root 9107065 1月 10 21:38 aide.db.new.gz
33. [root@newhostname aide]# rm aide.db.gz
34. rm：是否删除普通文件 "aide.db.gz"？y
35. [root@newhostname aide]# mv aide.db.new.gz aide.db.gz

aide简单的配置就完成了