使用AIDE工具监控Linux文件系统

AIDE是一种Linux安全工具，可通过监视服务器文件中的更改来检测黑客入侵。 初始化AIDE时，会将指定的目录或文件哈希值，大小，权限，映射和其他属性保存到数据库中，然后将基础数据库进行比较，获取文件修改和未经授权的修改以及黑客的入侵痕迹。

下面我来给大家介绍如何使用AIDE工具。

安装及使用

1)安装并初始化基线数据库

2)使用--check参数获得变动信息

AIDE使用的基线数据库文件名为aide.db.gz，而--check或--update生成的文件名为aide.db.new.gz，所以每次都需要手动把aide.db.new.gz复制到aide.db.gz：

注意事项

1)因为每次检查都需要重新计算所有文件的哈希值，如果服务器CPU资源吃紧，可以考虑在配置文件中忽略指定的目录。

2)服务器操作得越频繁，造成的文件改动越多，为了减少杂音，可适当减少对某些目录的监控，或只对网站目录等敏感路径进行监控。

3)AIDE基线数据库文件最后存储在NFS只读路径上，避免黑客控制服务器后清除AIDE记录。

4)可以考虑使用离线检查方式，即定期把服务器上的数据库集中收集到一个地方统一分析处理。

虽然AIDE功能比较单一，但只要部署正确，文件系统的任何风吹草动都会被记录，武功再高也怕菜刀就是这个道理!