ubuntu系统如何配置***检测系统AIDE?

服务器由于对互联网提供服务,所以面临这各种各样的安全问题,******并篡改文件是比较常见的服务器风险。所以,对系统的重要文件进行完整性监视并及时发出预警,是确保服务器安全的一个重要手段。

对于大型解决方案,建议使用知名的工具,如Tripwire Enterprise。然而,许多中小型公司可能无法负担这一费用。那么,企业可以用什么来满足这一要求呢?AIDE(高级***检测环境)是一个不错的选择。

AIDE是一个非常简单(但功能强大)的程序,它从cron运行,检查您的文件(通常是一个晚上一次),它将扫描您的系统,寻找其监视的目录中的任何更改。AIDE根据从配置文件中找到的正则表达式规则创建一个数据库。一旦这个数据库被初始化,它就可以用来验证文件的完整性。

在基于Ubuntu或Debian的系统上,您可以通过以下方式安装

apt-get install aide

现在要设置一些基本配置,如电子邮件通知、更新类型等,可以参考以下内容修改,具体含义配置文件有说明::

vim /etc/default/aide

...

FQDN=web01.domain.com
MAILSUBJ="Daily AIDE report for $FQDN"
QUIETREPORTS=no
COMMAND=update
COPYNEWDB=yes...

Debian/Ubuntu配置AIDE的方法与CentOS/RHEL稍有些不同。所有配置文件都驻留在/etc/aide/aide.conf.d/,文件的编号被AIDE用来决定处理这些文件的顺序。安装时内置了许多规则,也可以用序号文件的方式创建自配置文件

无论何时对AIDE配置进行更改,都需要重建AIDE运行时配置,并初始化数据库。

update-aide.conf

aideinit -y -f

现在比如对/etc/hosts进行修改,然后运行aide看看它是否检测到了变化,并通过电子邮件发送报告

/etc/cron.daily/aide

如果您只想快速测试AIDE,则可以通过以下方式执行一次性扫描:

aide.wrapper

要接收每夜的AIDE报告,不需要进一步配置,因为Ubuntu/Debian已经设置了一个cron作业。

.

下面是AIDE的一个报告样本:

Start timestamp: 2016-03-07 13:16:35

Summary:
Total number of files: 77937
Added files: 2
Removed files: 3
Changed files: 7


Added files:

f++++++++++++++++: /var/log/aide/aide.log.0
d++++++++++++++++: /var/www/vhosts/domain.com/new


Removed files:

f----------------: /var/www/vhosts/domain.com/blah
f----------------: /var/www/vhosts/domain.com/test
d----------------: /var/www/vhosts/domain.com/test1


Changed files:

报告列出了文件的修改删除等操作,根据这个报告来判断是不是自己修改的,这有助于您采取主动的安全方法。

ubuntu系统如何配置***检测系统AIDE?

上一篇:linux远程连接命令


下一篇:Mac 安装brew的正确姿势