Утилита aide#
Утилита aide (Advanced Intrusion Detection Environment) используется для обнаружения вторжений и аудита системы. Она позволяет отслеживать изменения в файловой системе, системных файлах, установленных пакетах и других параметрах системы. aide создает базу данных, в которой хранит информацию о состоянии системы, и затем сравнивает ее с текущим состоянием системы, выявляя любые изменения. Это позволяет обнаруживать несанкционированные изменения, которые могут указывать на проблемы безопасности.
Синтаксис утилиты:
aide <options> <command>
Где:
<options>- опции;<command>- команды.
Часто используемые команды утилиты представлены в таблице ниже.
Команда |
Описание |
|---|---|
|
Проверяет целостность базы данных. Требуется инициализированная база данных для выполнения этой проверки. Это команда по умолчанию. Если запустить |
|
Инициализирует базу данных |
|
Сопоставляет каждый файл в файловой системе с деревом правил и выводит результаты на |
|
Проверяет базу данных и обновляет ее в неинтерактивном режиме. Входная и выходная базы данных должны быть разными |
|
Сравнивает две базы данных. Они должны быть указаны в конфигурационном файле с использованием параметра |
Часто используемые опции утилиты представлены в таблице ниже.
Опция |
Описание |
|---|---|
|
Считывает конфигурацию из заданного конфигурационного файла |
|
Ограничивает область просмотра файловой системы, используя регулярное выражение |
|
Устанавливает уровень вывода сообщений. Значение, заданное параметром, переопределяет значение из конфигурационного файла |
Пример использования#
Чтобы проверить и произвести изменения в одном каталоге, используйте команду:
aide --update --limit /etc
В результате выполнения команды будут проверены и обновлены только записи в базе данных, соответствующие каталогу /etc.