AIDE是一种基于主机的开源入侵检测系统。它提供软件完整性检查，并且可以检测到系统上已发生入侵(监视文件系统以进行未经授权的更改，例如查找系统二进制文件是否已修改以及是否安装了新的破解版本)。

如何在Ubuntu LTS/Debian Linux 5.0服务器中安装和配置AIDE？

在Debian/Ubuntu Linux中安装AIDE

执行以下命令：

# apt-get update && apt-get install aide

配置和自定义AIDE

AIDE默认的配置文件为：/etc/aide/aide.conf。

• /etc/aide/aide.conf和/etc/aide/aide.conf.d/默认的AIDE配置文件。
• /var/lib/aide/aide.db AIDE数据库的默认位置。
• /var/lib/aide/aide.db.new新创建的AIDE数据库的默认位置。

如何构建，存储和测试AIDE数据库？

aideinit创建一个新的AIDE数据库。

它将在默认的database_out位置(在/etc/aide/aide.conf中定义)初始化AIDE数据库。

然后它将提示您替换现有的AIDE数据库。

aideinit会尝试根据aide.conf设置自动检测数据库和database_out文件的正确位置。

创建新数据库：

# aideinit

安装新生成的数据库：

# cp /var/lib/aide/aide.db.new /var/lib/aide/aide.db

执行手动检查：

# aide -c /etc/aide/aide.conf --check

为了安全，将数据库以及配置文件/etc/aide/aide.conf和aide二进制文件移动到安全的只读位置。

# scp /var/lib/aide/aide.db* /usr/bin/aide /etc/aide/aide.conf /etc/aide/aide.conf.d/* [email protected]:/path/to/dir

使用诸如cdrecord之类的工具将文件写入CDROM。

1.0.4如何测试任何二进制文件的完整性？

运行命令(注意：通常只需要运行aide -c /etc/aide/aide.conf检查)：

# touch /bin/date
# aide -c /etc/aide/aide.conf --check

使用Cron定期完整性检查

默认情况下，AIDE会自行安装以定期执行/etc/cron.daily/aide。

该脚本每天执行一次。
如果安装的二进制文件有任何问题(由您或系统更新程序(如apt-get或攻击者修改)，您将收到一封电子邮件(默认发送给root用户)。

编辑/etc/default/aide文件，可以设置接收邮件。

[email protected]

有关系统更改的说明

收到AIDE邮件可能表明您的服务器受到攻击。

但是，有时需要更新系统或者软件。
那么需要重新执行下面的步骤：

# aideinit
# cp /var/lib/aide/aide.db.new /var/lib/aide/aide.db
# aide -c /etc/aide/aide.conf --check