AIDE (Advanced Intrusion Detection Environment) 是一個(gè)用于檢測(cè)系統(tǒng)完整性變化的工具，主要用于 Linux 和類 Unix 系統(tǒng)。它可以被用來發(fā)現(xiàn)系統(tǒng)被攻擊或被篡改的跡象。下面是 AIDE 的基本使用手冊(cè)，涵蓋安裝、配置和日常使用等方面。

1. 安裝 AIDE

AIDE 的安裝過程取決于你的操作系統(tǒng)。以下是針對(duì) Ubuntu 和 RHEL/CentOS 的安裝步驟。

對(duì)于 Debian 或 Ubuntu:

sudo apt update
sudo apt install aide

對(duì)于 RHEL 或 CentOS:

sudo yum install aide

2. 配置 AIDE

AIDE 的主配置文件通常位于 /etc/aide/aide.conf或/etc/aide.conf。你可以根據(jù)需要編輯此文件來進(jìn)行配置, 在功能性驗(yàn)證階段使用默認(rèn)配置即可, 后續(xù)可根據(jù)需求進(jìn)行調(diào)整。

基本配置選項(xiàng):

·         指定要檢查的目錄:

/ etc,
/var etc,
/usr etc,

·         選擇要檢查的文件屬性:

file_attributes = size, perms, user, group, mtime, ctime, ftype, md5, sha1

·         排除不需要檢查的文件:

exclude_dirs = /proc /sys /dev /tmp /var/tmp /var/run /var/lock /var/spool /var/cache
exclude_files = /lost+found

·         使用 SHA-256 校驗(yàn):

file_attributes = size, perms, user, group, mtime, ctime, ftype, sha256

·         忽略某些文件類型:

exclude_types = a b c d l s

3. 生成初始數(shù)據(jù)庫

首次運(yùn)行 AIDE 之前，你需要生成一個(gè)初始數(shù)據(jù)庫，用于保存系統(tǒng)文件的當(dāng)前狀態(tài)。

sudo aide --init
命令完成后的文件如果是可以值得信任的基準(zhǔn), 那么可以通過以下命令使其成為基準(zhǔn)數(shù)據(jù)庫:
ln -s /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

這可能會(huì)花費(fèi)一些時(shí)間，因?yàn)樗枰闅v整個(gè)文件系統(tǒng)。

4. 運(yùn)行 AIDE

一旦初始數(shù)據(jù)庫生成完成，你可以運(yùn)行 AIDE 來檢查當(dāng)前文件系統(tǒng)對(duì)比于基準(zhǔn)數(shù)據(jù)庫的完整性。

sudo /usr/sbin/aide --check

5. 查看結(jié)果

AIDE的事件都會(huì)寫入日志文件中, /var/log/aide/aide.log為其默認(rèn)位置.

cat /var/log/aide/aide.log

6. 更新數(shù)據(jù)庫

如果你確定沒有任何異常，就可以更新數(shù)據(jù)庫以反映當(dāng)前的系統(tǒng)狀態(tài)。通常你需要根據(jù)aide --check的事件對(duì)于誤報(bào)的問題, 更新aide基準(zhǔn)數(shù)據(jù)庫, 如果確認(rèn)是不需要關(guān)注的誤報(bào)則可以配置aide.conf文件規(guī)則進(jìn)行過濾.

sudo aide --update

7. 自動(dòng)化 AIDE

為了提高效率，你可以設(shè)置 cron 任務(wù)來定期運(yùn)行 AIDE 并通過郵件發(fā)送報(bào)告給管理員。

創(chuàng)建 cron 任務(wù):

編輯 /etc/cron.d/aide 文件，并添加如下內(nèi)容來每天凌晨 4 點(diǎn)運(yùn)行 AIDE：

0 4 * * * root /usr/sbin/aide --check

你還可以配置 AIDE 通過郵件發(fā)送報(bào)告：

0 4 * * * root /usr/sbin/aide --check | mail -s "AIDE Report" admin@example.com

確保已經(jīng)安裝了 mailx 并正確配置了郵件服務(wù)。

總結(jié)

以上步驟涵蓋了 AIDE 的基本安裝、配置和使用方法。根據(jù)你的具體需求，你可能還需要進(jìn)一步定制 AIDE 的配置文件。AIDE 是一個(gè)強(qiáng)大的工具，能夠幫助你監(jiān)控文件系統(tǒng)的完整性并保護(hù)系統(tǒng)免受攻擊。請(qǐng)確保定期運(yùn)行 AIDE 以保持系統(tǒng)的安全性。