首先安裝aide檔案監控工具
yum install aide -y
/etc/aide.conf 配置檔案
3 @@define DBDIR /var/lib/aide
4 @@define LOGDIR /var/log/aide 以上是它的變量
7 database=file:@@{DBDIR}/aide.db.gz 是以.gz的格式壓縮,這是壓縮後的資料庫存放位置 在/var/lib/aide目錄下。
12database_out=file:@@{DBDIR}/aide.db.new.gz 檔案輸出。
15 gzip_dbout=yes 檔案壓縮格式是以gzip的格式壓縮,預設yes
18 verbose=5 系統檔案最多保留5份。
20 report_url=file:@@{LOGDIR}/aide.log 日志檔案
以下是定義監控哪些目錄或檔案:
88/boot NORMAL
89/bin NORMAL
90/sbin NORMAL
91/lib NORMAL
92/lib64 NORMAL
93/opt NORMAL
94 /usr NORMAL
95/root NORMAL
後面的NORMAL意思在配置檔案中都有說明,我這裡舉一個例子:
68 NORMAL = R+rmd160+sha256
這個R的詳解配置檔案中也有,請看下面:
54#R: p+i+n+u+g+s+m+c+acl+selinux+xattrs+md5
55#L: p+i+n+u+g+acl+selinux+xattrs
56#E: Empty group
57#>: Growing logfilep+u+g+i+n+S+acl+selinux+xattrs
而後面的p的詳解也有:
28#p: permissions
29#i: inode:
30#n: number of links
31#u: user
32#g: group
33#s: size
34#b: block count
35#m: mtime
36#a: atime
37#c: ctime
38#S: check for growing size
39#acl: Access Control Lists
當然以上這些隻是說了部分功能及資訊,配置檔案裡還有其他一些更多相關資訊。
也就是說,後面隻要寫上NORMAL,就能監控許多你想監控的一些資訊了,比如權限,檔案大小,擁有人,擁有組等。
不想監控的話在所在檔案的前面加上!(歎号)即可,例如:
96 #These are too volatile
97!/usr/src
98!/usr/tmp
aide --init 生成資料庫
aide --check 監控檢查檔案是否被惡意修改 (新生成的資料庫檔案必修修改名字,否則使用這個指令時會提示正在讀取中,但必須有那個資料庫檔案)
/dir 監控本目錄及目錄下所有檔案及目錄
=/dir 隻監控目錄本身,不會監控以下的子目錄
!/dir 跳過本目錄,不對本目錄監控
本文轉自silence部落格51CTO部落格,原文連結http://blog.51cto.com/silencezone/1944579如需轉載請自行聯系原作者
a120518129