ubuntu系统如何配置入侵检测系统AIDE？

ubuntu系统如何配置入侵检测系统AIDE？

服务器由于对互联网提供服务，所以面临这各种各样的安全问题，木马入侵并篡改文件是比较常见的服务器风险。所以，对系统的重要文件进行完整性监视并及时发出预警，是确保服务器安全的一个重要手段。

对于大型解决方案，建议使用知名的工具，如Tripwire Enterprise。然而，许多中小型公司可能无法负担这一费用。那么，企业可以用什么来满足这一要求呢？AIDE（高级入侵检测环境）是一个不错的选择。

AIDE是一个非常简单（但功能强大）的程序，它从cron运行，检查您的文件（通常是一个晚上一次），它将扫描您的系统，寻找其监视的目录中的任何更改。AIDE根据从配置文件中找到的正则表达式规则创建一个数据库。一旦这个数据库被初始化，它就可以用来验证文件的完整性。

在基于Ubuntu或Debian的系统上，您可以通过以下方式安装

# apt-get install aide

现在要设置一些基本配置，如电子邮件通知、更新类型等，可以参考以下内容修改，具体含义配置文件有说明：:

# vim etc/default/aide

...

FQDN=web01.domain.com

MAILSUBJ="Daily AIDE report for $FQDN"

QUIETREPORTS=no

COMMAND=update

COPYNEWDB=yes...

Debian/Ubuntu配置AIDE的方法与CentOS/RHEL稍有些不同。所有配置文件都驻留在/etc/aide/aide.conf.d/，文件的编号被AIDE用来决定处理这些文件的顺序。安装时内置了许多规则，也可以用序号文件的方式创建自配置文件

无论何时对AIDE配置进行更改，都需要重建AIDE运行时配置，并初始化数据库。

# update-aide.conf

# aideinit -y -f

现在比如对/etc/hosts进行修改,然后运行aide看看它是否检测到了变化，并通过电子邮件发送报告

# etc/cron.daily/aide

如果您只想快速测试AIDE，则可以通过以下方式执行一次性扫描:

# aide.wrapper

要接收每夜的AIDE报告，不需要进一步配置，因为Ubuntu/Debian已经设置了一个cron作业。

.

下面是AIDE的一个报告样本:

Start timestamp: 2016-03-07 13:16:35

Summary:

Total number of files: 77937

Added files: 2

Removed files: 3

Changed files: 7

---------------------------------------------------

Added files:

---------------------------------------------------

f++++++++++++++++: var/log/aide/aide.log.0

d++++++++++++++++: var/www/vhosts/domain.com/new

---------------------------------------------------

Removed files:

---------------------------------------------------

f----------------: /var/www/vhosts/domain.com/blah

f----------------: /var/www/vhosts/domain.com/test

d----------------: /var/www/vhosts/domain.com/test1

---------------------------------------------------

Changed files:

---------------------------------------------------

报告列出了文件的修改删除等操作，根据这个报告来判断是不是自己修改的，这有助于您采取主动的安全方法。