AIDE(Advanced Intrusion Detection Environment)是一款針對文件和目錄進(jìn)行完整性對比檢查的程序，它被開發(fā)成Tripwire的一個替代品。

[[149057]] 

AIDE如何工作

這款工具年紀(jì)也不小了，相對來同類工具Tripwire說，它的操作也更加簡單。它需要對系統(tǒng)做快照，記錄下HASH值，修改時間，以及管理員對文件做的預(yù)處理。這個快照可以讓管理員建立一個數(shù)據(jù)庫，然后存儲到外部設(shè)備進(jìn)行保管。

當(dāng)管理員想要對系統(tǒng)進(jìn)行一個完整性檢測時，管理員會將之前構(gòu)建的數(shù)據(jù)庫放置一個當(dāng)前系統(tǒng)可訪問的區(qū)域，然后用AIDE將當(dāng)前系統(tǒng)的狀態(tài)和數(shù)據(jù)庫進(jìn)行對比，最后將檢測到的當(dāng)前系統(tǒng)的變更情況報告給管理員。另外，AIDE可以配置為定時運(yùn)行，利用cron等日程調(diào)度技術(shù)，每日對系統(tǒng)進(jìn)行檢測報告。

這個系統(tǒng)主要用于運(yùn)維安全檢測，AIDE會向管理員報告系統(tǒng)里所有的惡意更迭情況。

AIDE的特性

支持消息摘要算法：md5, sha1, rmd160, tiger, crc32, sha256, sha512, whirlpool

支持文件屬性：文件類型，文件權(quán)限，索引節(jié)點(diǎn)，UID，GID，鏈接名稱，文件大小，塊大小，鏈接數(shù)量，Mtime，Ctime，Atime

支持Posix ACL，SELinux，XAttrs，擴(kuò)展文件系統(tǒng)屬性

純文本的配置文件，精簡型的數(shù)據(jù)庫

強(qiáng)大的正則表達(dá)式，輕松篩選要監(jiān)視的文件和目錄

支持Gzip數(shù)據(jù)庫壓縮

獨(dú)立二進(jìn)制靜態(tài)編譯的客戶端/服務(wù)器監(jiān)控配置

許多Linux發(fā)行版里其實(shí)也帶AIDE的源，你可以輸入aptitude install aide直接安裝它。

附上Aide 0.15.1的源碼下載。