AIDE安装配置笔记
wget ftp://ftp.gnupg.org/gcrypt/libgpg-error/libgpg-error-1.7.tar.bz2
./configure && make && make install
2.安装libgcrypt包
wget ftp://ftp.gnupg.org/gcrypt/libgcrypt/libgcrypt-1.4.4.tar.bz2
./configure && make && make install
3.安装AIDE
wget http://downloads.sourceforge.net/project/aide/aide/0.13.1/aide-0.13.1.tar.gz
./configure --prefix=/usr/local/aide/
make
make install
4.aide.conf
检测规则
p 权限
i inode
l 链接名字
n 链接数量
u 用户
s 大小
m mtime
a atime
c ctime
S 查找增加的字节
I 跳过被修改的文件名
ANF 允许新文件
ARF 允许删除文件
md5 md5检测
sha1 sha1检测
sha256 sha256检测
sha512 sha512检测
rmd160 rmd160检测
tiger tiger检测
haval haval检测
crc32 crc32检测
R: p+i+l+n+u+g+m+c+md5
L: p+i+l+n+u+g
E: 空组 empty group
>: 增长的日志文件 p+l+u+g+i+n+S And also the following if you have mhash support enabled
gost: gost检测
whirlpool whirlpool检测
acl: 访问控制列表
selinux: selinux属性
xattr: 扩展属性
5.例子
/ R
它就把根目录下的所有文件全部写入到数据库中。
!/dev
排除/dev/目录结构
=/tmp
只有tmp写入数据库
ALL=p+i+n+u+g+s+m+c+a+md5+sha1+tiger+rmd160
=/foo p+i+l+n+u+g+s+m+c+md5
/foo/bar p+i+l+n+u+g+s+m+c+md5