一、AIDE的概念 

AIDE：Advanced Intrusion Detection Environment，是一款入侵檢測工具，主要用途是檢查文檔的完整性。AIDE在本地構(gòu)造了一個基準的數(shù)據(jù)庫，一旦操作系統(tǒng)被入侵，可以通過對比基準數(shù)據(jù)庫而獲取文件變更記錄，使用aide.conf作為其配置文檔。AIDE數(shù)據(jù)庫能夠保存文檔的各種屬性，包括：權(quán)限(permission)、索引節(jié)點序號(inode number)、所屬用戶(user)、所屬用戶組(group)、文檔大小、最后修改時間(mtime)、創(chuàng)建時間(ctime)、最后訪問時間(atime)、增加的大小連同連接數(shù)。AIDE還能夠使用下列算法：sha1、md5、rmd160、tiger，以密文形式建立每個文檔的校驗碼或散列號。 

二、在 CentOS或RHEL上安裝AIDE

AIDE的初始安裝（同時是首次運行）最好是在系統(tǒng)剛安裝完后，并且沒有任何服務(wù)暴露在互聯(lián)網(wǎng)甚至局域網(wǎng)時。在這個早期階段，我們可以將來自外部的一切闖入和破壞風(fēng)險降到最低限度。事實上，這也是確保系統(tǒng)在AIDE構(gòu)建其初始數(shù)據(jù)庫時保持干凈的唯一途徑。（LCTT 譯注：當(dāng)然，如果你的安裝源本身就存在安全隱患，則無法建立可信的數(shù)據(jù)記錄） 

出于上面的原因，在安裝完系統(tǒng)后，我們可以執(zhí)行下面的命令安裝AIDE： 

#yum install aide 

三、配置AIDE 

默認配置文件是/etc/aide.conf，該文件介紹了幾個示例保護規(guī)則（如FIPSR，NORMAL，DIR，DATAONLY），各個規(guī)則后面跟著一個等號以及要檢查的文件屬性列表，或者某些預(yù)定義的規(guī)則（由+分隔）。你也可以使用此種格式自定義規(guī)則。

FIPSR = p+i+n+u+g+s+m+c+acl+selinux+xattrs+sha256

CONTENT_EX = sha256+ftype+p+u+g+n+acl+selinux+xattrs 

例如，FIPSR和CONTENT_EX上面的例子說明，規(guī)則將檢查下列屬性的不一致性：權(quán)限（p）、索引節(jié)點（i）、鏈接數(shù)（n）、用戶（u）、組（g）、大?。╯）、修改時間（m）、創(chuàng)建時間（c）、ACL（acl）、SELinux（selinux）、xattrs（xattr）、SHA256/SHA512校驗和（sha256和sha512）。

定義的規(guī)則可靈活地用于不同的目錄和文件（用正則表達式表示）。

對于/etc中的備份文件（如/etc/.*~）則不應(yīng)用任何規(guī)則，也沒有規(guī)則用于/etc/mtab文件。對于/etc中的其它一些選定的子目錄或文件，使用CONTENT_EX

定義并應(yīng)用正確的規(guī)則到系統(tǒng)中正確的位置，是使用AIDE最難的一部分，但作一個好的判斷是一個良好的開始。作為首要的一條規(guī)則，不要檢查不必要的屬性。例如，檢查/var/log或/var/spool里頭的文件的修改時間將導(dǎo)致大量誤報，因為許多的應(yīng)用程序和守護進程經(jīng)常會寫入內(nèi)容到該位置，而這些內(nèi)容都沒有問題。此外，檢查多個校驗值可能會加強安全性，但隨之而來的是AIDE的運行時間的增加。

可選的，如果你使用MAILTO變量指定電子郵件地址，就可以將檢查結(jié)果發(fā)送到你的郵箱。將下面這一行放到/etc/aide.conf中的任何位置即可。

MAILTO=root@localhost

四、首次運行AIDE

運行以下命令來初始化AIDE數(shù)據(jù)庫：

#Aide -init

根據(jù)/etc/aide.conf生成的/var/lib/aide/aide.db.new.gz文件需要被重命名為/var/lib/aide/aide.db.gz，以便AIDE能讀取它：

現(xiàn)在，是時候來將我們的系統(tǒng)與數(shù)據(jù)庫進行第一次校對了。任務(wù)很簡單，只需運行：

#Aide

在沒有選項時，AIDE假定使用了--check選項。

如果在數(shù)據(jù)庫創(chuàng)建后沒有對系統(tǒng)做過任何修改，AIDE將會以OK信息來結(jié)束本次校對。

五、生產(chǎn)環(huán)境中管理AIDE

在構(gòu)建了一個初始AIDE數(shù)據(jù)庫后，作為不斷進行的系統(tǒng)管理活動，你常常需要因為某些合法的理由更新受保護的服務(wù)器。每次服務(wù)器更新后，你必須重新構(gòu)建AIDE數(shù)據(jù)庫，以更新數(shù)據(jù)庫內(nèi)容。要完成該任務(wù)，請執(zhí)行以下命令：

 # aide --update

要使用AIDE保護生產(chǎn)系統(tǒng)，可能最好通過任務(wù)計劃調(diào)用AIDE來周期性檢查不一致性。例如，要讓AIDE每天運行一次，并將結(jié)果發(fā)送到郵箱：

 # crontab -e

0 0 * * * /usr/sbin/aide --check | /usr/bin/mail -s "AIDE run for $HOSTNAME" your@email.com

測試AIDE檢查文件篡改

下面的測試環(huán)境將演示AIDE是如何來檢查文件的完整性的。

測試環(huán)境 1

cat /dev/null > /etc/fake

測試環(huán)境 2

讓我們修改文件權(quán)限，然后看看它是否被檢測到。

#chmod 644 /etc/aide.conf

測試環(huán)境 3

最后，讓我們修改文件內(nèi)容（如，添加一個注釋行到/etc/aide.conf）。

#echo "#This is a comment" >> /etc/aide.conf 

結(jié)尾

如果你曾經(jīng)發(fā)現(xiàn)你自己有很好的理由確信系統(tǒng)被入侵了，但是第一眼又不能確定到底哪些東西被改動了，那么像AIDE這樣一個基于主機的入侵檢測系統(tǒng)就會很有幫助了，因為它可以幫助你很快識別出哪些東西被改動過，而不是通過猜測來浪費寶貴的時間。