5.1. aide

5.1.1. aide简介

AIDE(Adevanced Intrusion Detection Environment,高级入侵检测环境)是个入侵检测工具，主要用途是检查文本的完整性。

AIDE能够构造一个指定文档的数据库，他使用aide.conf作为其配置文档。AIDE数据库能够保存文档的各种属性，包括：权限(permission)、 索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文档大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时 间(atime)、增加的大小连同连接数。AIDE还能够使用下列算法：sha1、md5、rmd160、tiger，以密文形式建立每个文档的校验码或散列号。

5.1.2. aide的安装

[root@centos74 aide]$ yum install aide

5.1.3. aide的配置

[root@centos74 aide]$ vim /etc/aide.conf
这行后面的都删除， 我这里只关注boot目录的变换情况
/boot/   CONTENT_EX

5.1.4. 初始化

[root@centos74 aide]$ aide --init

5.1.5. 模拟文件变化

[root@centos74 boot]$ touch t1 >>/boot/t1.txt
[root@centos74 boot]$ mkdir t2

5.1.6. 检查信息

[root@centos74 boot]$ cd /var/lib/aide/
[root@centos74 aide]$ mv aide.db.new.gz aide.db.gz
[root@centos74 aide]$ aide --check
AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2018-01-08 18:45:46

Summary:
Total number of files:      321
Added files:                        2
Removed files:              0
Changed files:              0
---------------------------------------------------
Added files:
---------------------------------------------------

added: /boot/t1.txt
added: /boot/t2