Sideway 2009.07.22 xtadw@yahoo.com.cn
tripwire曾是linux下的最为普遍使用的文件审计工具,但可能因为其版权方面的原因,现在的发行版大多已经放弃了使用,如CentOS 5就使用了aide来代替该软件。AIDE(Adevanced Intrusion Detection Environment,高级入侵检测环境)是一个入侵检测工具,主要用途是检查文件的完整性。 具体特性在此就不作具体介绍了,大家可以google一下,我在这里仅作一个最简单使用的介绍。
一、安装
在CentOS 5.0的光盘上找到aide安装包
# rpm -ivh aide-0.12-7.i386.rpm
二、初始化
在第一次使用aide时必须先生成当前系统下文件的“指纹”,存放在一个库文件中,以便今后比较。
# aide --init
# cp /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
注:aide.db.new.gz就是第一次生成的库文件,请妥善保存,必要时可刻成光盘。
三、检查系统
每隔一段时间或发现异常时可对系统文件进行检查,看是否被人动过手脚。
# aide --check
四、更新库文件
如果对系统文件进行了更新及改变,可以对库文件进行更新。
# aide --update
注:
以上使用aide的方法是在应用默认配置的状态下的简单步聚。aide的配置文件为:/etc/aide.conf,大家可以修改这个配置文件以便符合自己的使用环境。
阅读(1632) | 评论(0) | 转发(0) |