推荐文章
Copyright 2024 HNCloud Limited.
香港联合通讯国际有限公司
Linux下通过AIDE检测文件的完整性
时间 : 2023-02-27 10:12:59
编辑 : 华纳云
阅读量 : 183
AIDE是目前unix下著名的文件系统完整性检查工具,采用的技术核心是对每个要监控的文件提前产生一个数字签名并保存在系统中,当文件当前数字签名与保留的数字签名不一致时,那么说明我们检测的文件已经发生了改动。
操作步骤
安装
[root@CentOS7 ~]# yum -y install aide
修改配置文件
/etc/aide.conf
/etc/aide.conf 默认配置文件路径 /usr/sbin/aide 默认二进制可执行文件路径 /var/lib/aide 默认数据库文件路径 /var/log/aide 默认日志文件路径 初始化默认的AIDE的库:
`which aide` --init
执行完这步操作后会在默认数据库路径/var/lib/aide下产生一个名为“aide.db.new.gz”的数据库文件,/etc/aide.conf中定义的规则都写入到了该数据库文件中。 生成检查数据库(建议初始化数据库存放到安全的地方)
mv /var/lib/aide/aide.db{.new,}.gz
因为aide默认是从aide.db.gz数据库文件中读取/etc/aide.conf文件中定义的规则来检测文件完整性的,所以需要重命名初始化的库文件。 检测
`which aide` --check
更新数据库
`which aide` --update
检测完需要更新文件数据库,否则下次检测还是从旧的文件数据库中读取规则来检测文件的完整性。同时需要重命名数据库文件 AIDE默认规则
AIDE规则定义及使用 规则定义格式:规则名 = 具体规则 【例】:TEST = a+m+c
规则使用格式:文件/目录 规则名 【例】:/dir1 TEST 注:如果在文件或目录前面加了“!”,则表示忽略检测 AIDE规则验证 在/etc/aide.conf文件中定义如下规则,这里的/dir1目录刚开始是空的。
TEST = a+c+m /dir1 TES 测试1:
在该目录下创建一个新的文件file1,并写入”hello aide”
以上输出表示在/dir1目录下添加了file1文件,并且修改了/dir1目录的Ctime和Mtime属性 测试2:
将/dir1/file1文件的内容由”hello aide”修改为”hello world”
这时候/dir1目录的Atime,Mtime,Ctime都被修改了。
