安全運維利器:文件系統檢測工具AIDE
AIDE(Advanced Intrusion Detection Environment)是一款針對文件和目錄進行完整性對比檢查的程序,它被開發成Tripwire的一個替代品。
AIDE如何工作
這款工具年紀也不小了,相對來同類工具Tripwire說,它的操作也更加簡單。它需要對系統做快照,記錄下HASH值,修改時間,以及管理員對文件做的預處理。這個快照可以讓管理員建立一個數據庫,然后存儲到外部設備進行保管。
當管理員想要對系統進行一個完整性檢測時,管理員會將之前構建的數據庫放置一個當前系統可訪問的區域,然后用AIDE將當前系統的狀態和數據庫 進行對比,最后將檢測到的當前系統的變更情況報告給管理員。另外,AIDE可以配置為定時運行,利用cron等日程調度技術,每日對系統進行檢測報告。
這個系統主要用于運維安全檢測,AIDE會向管理員報告系統里所有的惡意更迭情況。
AIDE的特性
支持消息摘要算法:md5, sha1, rmd160, tiger, crc32, sha256, sha512, whirlpool 支持文件屬性:文件類型,文件權限,索引節點,UID,GID,鏈接名稱,文件大小,塊大小,鏈接數量,Mtime,Ctime,Atime 支持Posix ACL,SELinux,XAttrs,擴展文件系統屬性 純文本的配置文件,精簡型的數據庫 強大的正則表達式,輕松篩選要監視的文件和目錄 支持Gzip數據庫壓縮 獨立二進制靜態編譯的客戶端/服務器監控配置
許多Linux發行版里其實也帶AIDE的源,你可以輸入aptitude install aide直接安裝它。
附上Aide 0.15.1的源碼 下載 。
*參考來源: DK ,編譯/dawner,轉載請注明來自FreeBuf黑客與極客(FreeBuf.COM)
本文由用戶 jopen 自行上傳分享,僅供網友學習交流。所有權歸原作者,若您的權利被侵害,請聯系管理員。
轉載本站原創文章,請注明出處,并保留原始鏈接、圖片水印。
本站是一個以用戶分享為主的開源技術平臺,歡迎各類分享!