AIDE 即 Advanced Intrusion Detection Environment,直译为高级入
侵检测环境,AIDE,是一个文件完整性检测工具,AIDE 能够构造一个指定文
件的数据库,它使用 aide.conf 作为其配置文件。AIDE 生成的数据库能够保存
文件的各种属性,包括:权限(permission)、索引节点序号(inode
number)、所属用户(user)、所属用户组(group)、文件大小、最后修改时间
(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小以及连接数。
AIDE 还能够使用下列算法:sha1、md5、rmd160、tiger,以密文形式建
立每个文件的校验码或散列。
一旦一台计算机系统被攻击, 所有的信息都将暴露在攻击者的视野中.如果
攻击者能很好的隐藏痕迹, 那么入侵的事实是一下很难被发现的, 随着时间的推
移攻击者将会发现越来越多的有用信息。管理员在系统安装完毕,连接到网络
上之前,可以通过该程序建立新系统的 AIDE 数据库。这个 AIDE 数据库是系
统的一个快照和以后系统升级的准绳。数据库应该至少包含这些信息:关键的
系统二进制可执行程序、动态连接库、头文件以及其它总是保持不变的文件。
(当然也可以用一些变通的策略,例如/dev 下很多终端设备只是 permisson 变
动,所以只要检查时去掉权限检查,就不会被报警淹没。)一旦发现系统被侵入,
系统管理员会使用 ls、lsof、ps、netstat、last 以及 who 等系统工具对系统
进行检查,但是所有这些系统工具都可能被 rootkit 程序代替了。可以想象被
修改的 ls 程序、ps 也不会显示任何入侵进程的信息,甚至本身就是一个肩负
backdoor 任务的程序。即使系统管理员恐怕永远也无法通过简单的文件属性
来获知它们是否被修改过了,因为文件日期、大小等信息是非常容易改变的,
如利用 touch。系统管理员需要安装入侵检测工具才能更好的提高信息的安全
性.AIDE, 高级入侵检测环境, 是一个文件完整性检测工具, 一种类型的入侵检
测程序. 使用 AIDE, 系统中的重要文件和文件相关的属性如权限, inode 号, 用
户, 用户组和链接数, 也包括创建每一个文件的加密校验都会被创建到一个数据
库中。
二、AIDE 的工作流程