AIDE(Advanced Intrusion Detection Environment, 高级检测环境) 是个检测工具, 主它通过系统的 "缩影" 来进行对比, 将期间的操作记录清楚的继续下来. 比如说一个 ××× 在你的服务器里做了一些手脚, 或者抓你的服务器去当矿工了, 如果有了 aide, 进过对比就会知道操作记录, 从而知道对方增, 删, 改, 查了什么文件, 这样修改回来就可以了.
下面来说 aide 的安装:
如果是 centos 系统的话, 更新 yum 源后直接? yum install aide -y 就可以了; 这样的安装, 配置文件在 / etc/aide.cconf;
当时公司使用的 debian, 其实 apt-get install aide 安装是可以的, 但是在使用过程中多多少少出现了一些问题 (其实是系统和安装包的问题), 就使用安装包的方式安装了;
需要的包: flex,bison,mhash,zlib;
我这里下载了一个 mhash 包, 其他的都是源直接安装的.
- ?? ??tar xzvf mhash-0.9.9.9.tar.gz? ? ? ? ? ? ? ? ? // 解压安装包
- ? ? ?cd mhash-0.9.9.9/? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?// 进入解压出来的目录
?? ?./configure? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?// 执行 configure
- ?? ?make? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? //make 编译
- ?? ?make install? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? // 安装
ok, 现在已经安装好 mhash 包了, 再来安装其他的.
? ? ?apt-get install bison
如果 install 安装不成功的话就使用? ??aptitude install bison? ? 进行安装;
我在用 install 安装的时候就报错了, 使用 aptitude install bison 可以进行智能安装, 如果没有 aptitude 命令 install 安装一下就 ok 了;
? ? ?apt-get install flex -y
? ? ?apt-get install zlib*?? ?
安装 zlib 的时候包太多, 解压下来大概有 800+MB, 所以事先看看好自己的硬盘容量;
?? ?tar xzvf aide-0.15.1.tar.gz? ? ? ? ? ? ? ? ? ? ?// 解压下载的 aide 包
- ?? ?cd aide-0.15.1/? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?// 进入解压的目录
- ?? ?./configure --prefix=/usr/local/aide --with-mhash? ? ? // 指定安装目录和相关包
- ?? ?make? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? //make 编译
- ?? ?make install? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? // 安装
我的是安装在 / usr/local/aide 下的;
?? ? 在 /usr/local/aide/ 下新建 etc 文件夹:
?? ??? ?mkdir etc? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? // 新建 etc 文件夹用于存放配置文件
进入 aide-0.15.1/? 解压包里的 doc 文件夹, 将 aide.conf 配置文件拷贝到 /usr/local/aide/etc / 下,
? ? cp aide-0.15.1/doc/aide.conf? ? ? /usr/local/aide/etc/
将 aide 的可执行文件复制到 / bin 下, 方便命令的使用, 不过这个好像还是不好用, 不如用? /usr/local/aide/bin? ? 下的 aide:?
- ? ? ? ? ? ? ? ? ? ? ? ? ?cp /usr/local/aide? ? ?/bin? ? ? ? ? ? ? ? ? ? ? ??
- ?? ?
?? ? 配置 aide.conf 文件, 找到下面参数, 修改如下:
- ?? ??? ?database=file:/usr/local/aide/aide.db.gz?? ??? ??? ??? ?# 生成的系统镜像目录和格式
- ?? ??? ?database_out=file:/usr/local/aide/aide.db.new.gz?? ??? ?# 新生成的系统镜像目录和格式
? ? ? 在最后添加如下 (这些是要监控或者说是要生成系统镜像的目录):
- ?? ??? ??? ?/bin R
- ?? ??? ??? ?/sbin R
?? ??? ??? ?/usr R
?? ??? ??? ?/etc R
?? ??? ??? ?/tmp R
?? ??? ??? ?/root R
完成配置之后就可以使用了:
? 执行? ?/usr/local/aide/bin/aide? ? --init? 或者? ???/usr/local/aide/bin/aide? ? -i? 生成系统镜像
(总感觉这么说不对劲, 镜像......(o)...)
这时??/usr/local/aide / 下会有一个 aide.db.new.gz 文件,
需要修改一下:? mv??aide.db.new.gz? ?aide.db.gz? ? ?// 这样就从新的系统镜像变成了系统镜像, 哈哈......
aide.db.gz 文件就相当于记录了系统当时的属性, 如果配置文件里的那些文件夹有任何改动的话都会发现.
执行? ??usr/local/aide/bin/aide? ?-C? 就可以了, 这个 C 是大写的!
等待输出结果就 ok 了, 自己可以测试下;
来源: http://www.bubuko.com/infodetail-2698721.html