AIDE安装配置笔记

1.安装libgpg-error包

wget ftp://ftp.gnupg.org/gcrypt/libgpg-error/libgpg-error-1.7.tar.bz2

./configure && make && make install

2.安装libgcrypt包

wget ftp://ftp.gnupg.org/gcrypt/libgcrypt/libgcrypt-1.4.4.tar.bz2

./configure && make && make install

3.安装AIDE

wget http://downloads.sourceforge.net/project/aide/aide/0.13.1/aide-0.13.1.tar.gz

./configure --prefix=/usr/local/aide/

make

make install

4.aide.conf

检测规则

p 权限

i inode

l 链接名字

n 链接数量

u 用户

s 大小

m mtime

a atime

c ctime

S 查找增加的字节

I 跳过被修改的文件名

ANF 允许新文件

ARF 允许删除文件

md5 md5检测

sha1 sha1检测

sha256 sha256检测

sha512 sha512检测

rmd160 rmd160检测

tiger tiger检测

haval haval检测

crc32 crc32检测

R: p+i+l+n+u+g+m+c+md5

L: p+i+l+n+u+g

E: 空组 empty group

>: 增长的日志文件 p+l+u+g+i+n+S And also the following if you have mhash support enabled

gost: gost检测

whirlpool whirlpool检测

acl: 访问控制列表

selinux: selinux属性

xattr: 扩展属性

5.例子

/ R

它就把根目录下的所有文件全部写入到数据库中。

!/dev

排除/dev/目录结构

=/tmp

只有tmp写入数据库

ALL=p+i+n+u+g+s+m+c+a+md5+sha1+tiger+rmd160

=/foo p+i+l+n+u+g+s+m+c+md5

/foo/bar p+i+l+n+u+g+s+m+c+md5