安全: aide配置/升级/使用脚本
一,功能:
AIDE入侵检测工具的本质就是配置文件中指定文件的哈希值存储到数据库文件中,在进行检测的时候进行再次计算并对比。
只能发现有区别,并不能告知区别明细
二,更新用的命令
-
更新您的基准 AIDE 数据库:
# aide --updateaide --update命令创建/var/lib/aide/aide.db.new.gz数据库文件。 - 若要开始使用更新的数据库进行完整性检查,请从文件名中删除
.new子字符串
三,查看监控的目录
目录在/etc/aide.conf中定义, 太长,就不完全复制出来,
默认的目录定义还是比较完整的,建议就使用现成的,可以添加,不要减少了
[root@blog logs]# more /etc/aide.conf
# Example configuration file for AIDE.
@@define DBDIR /var/lib/aide
@@define LOGDIR /var/log/aide
# The location of the database to be read.
database=file:@@{DBDIR}/aide.db.gz
# The location of the database to be written.
#database_out=sql:host:port:database:login_name:passwd:table
#database_out=file:aide.db.new
database_out=file:@@{DBDIR}/aide.db.new.gz
# Whether to gzip the output to database
gzip_dbout=yes
...四,排除某个目录,
例如某个保存经常变化数据的目录,
例如elasticsearch的索引库目录
例子:阿里云上面排除的目录:
!/usr/local/aegis
!/usr/local/share/aliyun-assist
!/usr/local/share/assist-daemon五,一个运行aide并按天保存日志的shell脚本
#!/bin/bash
file_date=$(date -d"1 day ago" +"%Y%m%d")
echo ${file_date}
# backup log的路径
back_base=/opt/aidelogsbackup
date_year=$(date -d"1 day ago" +"%Y")
date_month=$(date -d"1 day ago" +"%m")
back_path=${back_base}/${date_year}_${date_month}
echo ${back_path}
# ===================mkdir back_path========================
if [ -d ${back_path} ];then
echo 目录已经存在,不能重复创建
else
mkdir -p ${back_path}
fi
# path
orig_file=/var/log/aide/aide.log
# ===================run aide ========================
/usr/sbin/aide --check
# ===================backup log========================
cp -axv ${orig_file} ${back_path}/${file_date}_aide.log
echo ''>${orig_file}放到crontab中运行即可
