CentOS 5.0 aide文件安全审计工具的简单使用方法

sideway

tripwire曾是linux下的最为普遍使用的文件审计工具，但可能因为其版权方面的原因，现在的发行版大多已经放弃了使用，如CentOS 5就使用了aide来代替该软件。AIDE(Adevanced Intrusion Detection Environment,高级入侵检测环境)是一个入侵检测工具，主要用途是检查文件的完整性。 具体特性在此就不作具体介绍了，大家可以google一下，我在这里仅作一个最简单使用的介绍。
一、安装
在CentOS 5.0的光盘上找到aide安装包
# rpm -ivh aide-0.12-7.i386.rpm
二、初始化
在第一次使用aide时必须先生成当前系统下文件的“指纹”，存放在一个库文件中，以便今后比较。
# aide --init
# cp /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
注：aide.db.new.gz就是第一次生成的库文件，请妥善保存，必要时可刻成光盘。
三、检查系统
每隔一段时间或发现异常时可对系统文件进行检查，看是否被人动过手脚。
# aide --check
四、更新库文件
如果对系统文件进行了更新及改变，可以对库文件进行更新。
# aide --update
注：
以上使用aide的方法是在应用默认配置的状态下的简单步聚。aide的配置文件为：/etc/aide.conf，大家可以修改这个配置文件以便符合自己的使用环境。
               
               
               

本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/16288/showart_2003039.html