如何在 Fedora 中使用 AIDE 检查完整性
AIDE(高级入侵检测环境)是一个用于检查任何现代类 Unix 系统上文件和目录完整性的程序。它在系统上创建文件数据库,然后使用该数据库作为标准来确保文件完整性并检测系统入侵。
在本文中,我们将展示如何安装和使用 AIDE 来检查 Fedora 发行版中的文件和目录完整性。
如何在 Fedora 中安装 AIDE
1. AIDE 实用程序默认包含在 Fedora Linux 中,因此,您可以使用默认的 dnf 包管理器来安装它,如图所示。
sudo dnf install aide
2.安装完成后,需要创建初始的AIDE数据库,该数据库是系统正常状态下的快照。该数据库将作为衡量所有后续更新和更改的标准。
请注意,在将新系统引入网络之前,在新系统上创建数据库非常重要。其次,默认的 aide 配置允许检查 /etc/aide.conf 文件中定义的一组目录和文件。您需要相应地编辑此文件以配置更多文件和目录供助手查看。
运行以下命令生成初始数据库:
sudo aide --init
3. 要开始使用数据库,请从初始数据库文件名中删除 .new
子字符串。
sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
4.为了进一步保护AIDE数据库,您可以通过编辑配置文件来更改其默认位置,并修改DBDIR值并将其指向数据库的新位置。
@@define DBDIR /path/to/secret/db/location
为了提高安全性,请将数据库配置文件和 /usr/sbin/aide 二进制文件存储在安全位置,例如只读介质。重要的是,您实际上可以通过对配置和/或数据库进行签名来提高安全性。
在 Fedora 中执行完整性检查
5. 要手动扫描 Fedora 系统,请运行以下命令。
sudo aide --check
上述命令的输出显示了数据库和文件系统当前状态之间的差异。它显示条目摘要以及有关已更改条目的详细信息。
6. 为了有效使用,您应该将 AIDE 配置为作为 cron 作业运行,以每周(最少)或每天(最多)执行计划扫描。
例如,要安排每天午夜进行扫描,请在文件 /etc/crontab 中添加以下 cron 条目。
00 00 * * * root /usr/sbin/aide --check
更新 AIDE 数据库
7. 确认系统更改(例如软件包更新或配置文件修改)后,使用以下命令更新基线 AIDE 数据库。
sudo aide --update
aide --update
命令创建一个新的数据库文件 /var/lib/aide/aide.db.new.gz。要开始将其用于将来的扫描,您需要如前所示重命名它(从文件名中删除 .new 子字符串)。
有关 AIDE 的更多信息,您可以查看其手册页。
man aide
对于其他Linux发行版,您可以查看:如何在Linux中使用“AIDE”检查文件和目录的完整性。
AIDE 是一个功能强大的实用程序,用于检查类 Unix 操作系统(例如 Linux)上的文件和目录的完整性。在本文中,我们展示了如何在 Fedora Linux 中安装和使用 AIDE。您对 AIDE 有任何疑问或意见吗?如果有,请使用反馈表联系我们。