linux***檢測工具之aide
下面來說aide的安裝:
如果是centos系統的話,更新yum源後直接? yum install aide -y 就可以了;這樣的安裝,配置文件在/etc/aide.cconf;
當時公司使用的debian,其實apt-get install aide安裝是可以的,但是在使用過程中多多少少出現了一些問題(其實是系統和安裝包的問題),就使用安裝包的方式安裝了;
需要的包:flex、bison、mhash、zlib;
我這裏下載了一個mhash包,其他的都是源直接安裝的。
?? ??tar xzvf mhash-0.9.9.9.tar.gz? ? ? ? ? ? ? ? ? //解壓安裝包
? ? ?cd mhash-0.9.9.9/? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?//進入解壓出來的目錄
?? ?./configure? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?//執行configure
?? ?make? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? //make編譯
ok,現在已經安裝好mhash包了,再來安裝其他的。
? ? ?apt-get install bison
如果install安裝不成功的話就使用? ??aptitude install bison? ? 進行安裝;
我在用install安裝的時候就報錯了,使用aptitude install bison可以進行智能安裝,如果沒有aptitude命令install安裝一下就ok了;
? ? ?apt-get install flex -y
? ? ?apt-get install zlib*?? ?
安裝zlib的時候包太多,解壓下來大概有800+MB,所以事先看看好自己的硬盤容量;
?? ?tar xzvf aide-0.15.1.tar.gz? ? ? ? ? ? ? ? ? ? ?//解壓下載的aide包
?? ?cd aide-0.15.1/? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?//進入解壓的目錄
?? ?./configure --prefix=/usr/local/aide --with-mhash? ? ? //指定安裝目錄和相關包
?? ?make? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? //make 編譯
?? ?make install? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? //安裝
我的是安裝在/usr/local/aide下的;
?? ?在 /usr/local/aide/ 下新建etc文件夾:
?? ??? ?mkdir etc? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? //新建etc文件夾用於存放配置文件
進入 aide-0.15.1/? 解壓包裏的doc文件夾,將aide.conf配置文件拷貝到 /usr/local/aide/etc/下,
? ? cp aide-0.15.1/doc/aide.conf? ? ? /usr/local/aide/etc/
將aide的可執行文件復制到/bin下,方便命令的使用,不過這個好像還是不好用,不如用? /usr/local/aide/bin? ?下的aide:?
? ? ? ? ? ? ? ? ? ? ? ? ?cp /usr/local/aide? ? ?/bin? ? ? ? ? ? ? ? ? ? ? ??
?? ?
?? ?配置aide.conf文件,找到下面參數,修改如下:
?? ??? ?database=file:/usr/local/aide/aide.db.gz?? ??? ??? ??? ?#生成的系統鏡像目錄和格式
?? ??? ?database_out=file:/usr/local/aide/aide.db.new.gz?? ??? ?#新生成的系統鏡像目錄和格式
? ? ? 在最後添加如下(這些是要監控或者說是要生成系統鏡像的目錄):
?? ??? ??? ?/bin R
?? ??? ??? ?/sbin R
?? ??? ??? ?/usr R
?? ??? ??? ?/etc R
?? ??? ??? ?/tmp R
?? ??? ??? ?/root R
完成配置之後就可以使用了:
? 執行? ?/usr/local/aide/bin/aide? ? --init? 或者? ???/usr/local/aide/bin/aide? ? -i? 生成系統鏡像
(總感覺這麽說不對勁,鏡像......(⊙o⊙)…)
這時??/usr/local/aide/下會有一個aide.db.new.gz文件,
需要修改一下:? mv??aide.db.new.gz? ?aide.db.gz? ? ?//這樣就從新的系統鏡像變成了系統鏡像,哈哈......
aide.db.gz文件就相當於記錄了系統當時的屬性,如果配置文件裏的那些文件夾有任何改動的話都會發現。
執行? ??usr/local/aide/bin/aide? ?-C? 就可以了,這個C是大寫的!
等待輸出結果就ok了,自己可以測試下;
linux***檢測工具之aide