AIDE(AdvancedIntrusionDetectionEnvironment)是一个比较文件和目录完整性的程序。它是作为Tripwire的替代品开发的。AIDE是如何工作的这个工具并不年轻,而且与Tripwire等类似工具相比,它的操作也更简单。需要对系统进行快照,记录HASH值、修改时间,以及管理员对文件所做的预处理。此快照允许管理员构建数据库,然后将其存储在外部设备上以便妥善保管。当管理员要对系统进行完整性检查时,管理员会将之前构建的数据库放在当前系统的可访问区域,然后使用AIDE将当前系统的状态与数据库进行比较,最后检测到的当前系统更改会报告给管理员。另外,可以配置AIDE定时运行,使用cron等调度技术对系统进行每日检测报告。本系统主要用于运维安全检测,AIDE会将系统中的所有恶意改动上报给管理员。AIDE特性支持消息摘要算法:md5、sha1、rmd160、tiger、crc32、sha256、sha512、whirlpool支持文件属性:文件类型、文件权限、inode、UID、GID、链接名、文件大小、块大小、链接数量、Mtime、Ctime、Atime支持PosixACL、SELinux、XAttrs、扩展文件系统属性纯文本配置文件、精简数据库强大的正则表达式,方便过滤监控文件和目录支持Gzip数据库压缩独立二进制静态编译客户端/服务器监控配置很多Linux发行版其实都自带AIDE源码,直接输入aptitudeinstallaide就可以安装。附上Aide0.15.1源码下载。
