对于大型解决方案,建议使用知名的工具,如Tripwire Enterprise。然而,许多中小型公司可能无法负担这一费用。那么,企业可以用什么来满足这一要求呢?AIDE(高级***检测环境)是一个不错的选择。
AIDE是一个非常简单(但功能强大)的程序,它从cron运行,检查您的文件(通常是一个晚上一次),它将扫描您的系统,寻找其监视的目录中的任何更改。AIDE根据从配置文件中找到的正则表达式规则创建一个数据库。一旦这个数据库被初始化,它就可以用来验证文件的完整性。
在基于Ubuntu或Debian的系统上,您可以通过以下方式安装
apt-get install aide
现在要设置一些基本配置,如电子邮件通知、更新类型等,可以参考以下内容修改,具体含义配置文件有说明::
vim /etc/default/aide
...
FQDN=web01.domain.com
MAILSUBJ="Daily AIDE report for $FQDN"
QUIETREPORTS=no
COMMAND=update
COPYNEWDB=yes...
Debian/Ubuntu配置AIDE的方法与CentOS/RHEL稍有些不同。所有配置文件都驻留在/etc/aide/aide.conf.d/,文件的编号被AIDE用来决定处理这些文件的顺序。安装时内置了许多规则,也可以用序号文件的方式创建自配置文件
无论何时对AIDE配置进行更改,都需要重建AIDE运行时配置,并初始化数据库。
update-aide.conf
aideinit -y -f
现在比如对/etc/hosts进行修改,然后运行aide看看它是否检测到了变化,并通过电子邮件发送报告
/etc/cron.daily/aide
如果您只想快速测试AIDE,则可以通过以下方式执行一次性扫描:
aide.wrapper
要接收每夜的AIDE报告,不需要进一步配置,因为Ubuntu/Debian已经设置了一个cron作业。
.
下面是AIDE的一个报告样本:
Start timestamp: 2016-03-07 13:16:35
Summary:
Total number of files: 77937
Added files: 2
Removed files: 3
Changed files: 7
Added files:
f++++++++++++++++: /var/log/aide/aide.log.0
d++++++++++++++++: /var/www/vhosts/domain.com/new
Removed files:
f----------------: /var/www/vhosts/domain.com/blah
f----------------: /var/www/vhosts/domain.com/test
d----------------: /var/www/vhosts/domain.com/test1
Changed files:
报告列出了文件的修改删除等操作,根据这个报告来判断是不是自己修改的,这有助于您采取主动的安全方法。