使用AIDE工具監(jiān)控Linux文件系統(tǒng)

AIDE是一種Linux安全工具，可通過監(jiān)視服務(wù)器文件中的更改來檢測(cè)黑客入侵。 初始化AIDE時(shí)，會(huì)將指定的目錄或文件哈希值，大小，權(quán)限，映射和其他屬性保存到數(shù)據(jù)庫(kù)中，然后將基礎(chǔ)數(shù)據(jù)庫(kù)進(jìn)行比較，獲取文件修改和未經(jīng)授權(quán)的修改以及黑客的入侵痕跡。

下面我來給大家介紹如何使用AIDE工具。

安裝及使用

1)安裝并初始化基線數(shù)據(jù)庫(kù)

2)使用--check參數(shù)獲得變動(dòng)信息

AIDE使用的基線數(shù)據(jù)庫(kù)文件名為aide.db.gz，而--check或--update生成的文件名為aide.db.new.gz，所以每次都需要手動(dòng)把a(bǔ)ide.db.new.gz復(fù)制到aide.db.gz：

注意事項(xiàng)

1)因?yàn)槊看螜z查都需要重新計(jì)算所有文件的哈希值，如果服務(wù)器CPU資源吃緊，可以考慮在配置文件中忽略指定的目錄。

2)服務(wù)器操作得越頻繁，造成的文件改動(dòng)越多，為了減少雜音，可適當(dāng)減少對(duì)某些目錄的監(jiān)控，或只對(duì)網(wǎng)站目錄等敏感路徑進(jìn)行監(jiān)控。

3)AIDE基線數(shù)據(jù)庫(kù)文件最后存儲(chǔ)在NFS只讀路徑上，避免黑客控制服務(wù)器后清除AIDE記錄。

4)可以考慮使用離線檢查方式，即定期把服務(wù)器上的數(shù)據(jù)庫(kù)集中收集到一個(gè)地方統(tǒng)一分析處理。

雖然AIDE功能比較單一，但只要部署正確，文件系統(tǒng)的任何風(fēng)吹草動(dòng)都會(huì)被記錄，武功再高也怕菜刀就是這個(gè)道理!