如何在 Fedora 中使用 AIDE 检查完整性

AIDE（高级入侵检测环境）是一个用于检查任何现代类 Unix 系统上文件和目录完整性的程序。它在系统上创建文件数据库，然后使用该数据库作为标准来确保文件完整性并检测系统入侵。

在本文中，我们将展示如何安装和使用 AIDE 来检查 Fedora 发行版中的文件和目录完整性。

1. AIDE 实用程序默认包含在 Fedora Linux 中，因此，您可以使用默认的 dnf 包管理器来安装它，如图所示。

sudo dnf install aide

2.安装完成后，需要创建初始的AIDE数据库，该数据库是系统正常状态下的快照。该数据库将作为衡量所有后续更新和更改的标准。

请注意，在将新系统引入网络之前，在新系统上创建数据库非常重要。其次，默认的 aide 配置允许检查 /etc/aide.conf 文件中定义的一组目录和文件。您需要相应地编辑此文件以配置更多文件和目录供助手查看。

运行以下命令生成初始数据库：

sudo aide --init

3. 要开始使用数据库，请从初始数据库文件名中删除 .new 子字符串。

sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

4.为了进一步保护AIDE数据库，您可以通过编辑配置文件来更改其默认位置，并修改DBDIR值并将其指向数据库的新位置。

@@define DBDIR  /path/to/secret/db/location

为了提高安全性，请将数据库配置文件和 /usr/sbin/aide 二进制文件存储在安全位置，例如只读介质。重要的是，您实际上可以通过对配置和/或数据库进行签名来提高安全性。

5. 要手动扫描 Fedora 系统，请运行以下命令。

sudo aide --check

上述命令的输出显示了数据库和文件系统当前状态之间的差异。它显示条目摘要以及有关已更改条目的详细信息。

6. 为了有效使用，您应该将 AIDE 配置为作为 cron 作业运行，以每周（最少）或每天（最多）执行计划扫描。

例如，要安排每天午夜进行扫描，请在文件 /etc/crontab 中添加以下 cron 条目。

00  00  *  *  *  root  /usr/sbin/aide --check

7. 确认系统更改（例如软件包更新或配置文件修改）后，使用以下命令更新基线 AIDE 数据库。

sudo aide --update

aide --update 命令创建一个新的数据库文件 /var/lib/aide/aide.db.new.gz。要开始将其用于将来的扫描，您需要如前所示重命名它（从文件名中删除 .new 子字符串）。

有关 AIDE 的更多信息，您可以查看其手册页。

man aide

对于其他Linux发行版，您可以查看：如何在Linux中使用“AIDE”检查文件和目录的完整性。

AIDE 是一个功能强大的实用程序，用于检查类 Unix 操作系统（例如 Linux）上的文件和目录的完整性。在本文中，我们展示了如何在 Fedora Linux 中安装和使用 AIDE。您对 AIDE 有任何疑问或意见吗？如果有，请使用反馈表联系我们。