Ubuntu系統用AIDE檢查檔完整性

在許多可以應用於HTTP://www.aliyun.com/zixun/aggregation/13835.html">Ubuntu安全的方法中，有一種被稱作檔完整性監視（檔完整性檢驗）。 對關鍵的系統二進位檔案和設定檔進行完整性監視和校驗的目的是確保這些關鍵檔案沒有被進行未授權的改變。 對系統特定檔的未授權改變是對系統進行攻擊和危害活動的表現之一。 檔完整性監視是一種積極的方法，可以使你及時瞭解到系統重要檔的改變。 同大多數的工具一樣，在GNU/Linux社區中，有許多不同的應用程式可用於對你的Ubuntu系統檔的完整性進行監視和校驗。

這篇指南會涉及到其中一些工具在Ubuntu系統上的安裝、配置和使用。

雖然嚴格來說,有許多方法可用於監視和校驗GNU/Linux系統關鍵檔案的完整性,但是這份指南只對名為"高級入侵偵測環境"的工具進行介紹。

不過，其它可用於監視和校驗檔完整性的工具，會在本文的「相關資源」一節中列出。 流覽和使用這些工具是一種練習，讀者可以自己去實踐。

AIDE

「高級入侵偵測環境」（AIDE）是一個自由軟體，是流行的檔完整性校驗工具Tripwire的替代品。 它通過讀取設定檔中的一系列正則運算式來建立一個資料庫，當資料庫初始化後，就可以用來對關鍵系統檔和一些使用者自訂檔的完整性進行校驗了。

AIDE 使用許多流行的資訊摘要演算法（md5、sha1、rmd160、tiger、haval等）來檢查檔的完整性。 額外的演算法也很容易被添加進去。 所有傳統檔案系統屬性的一致性也會被檢查。

Installing AIDE

在終端模式下進行安裝之前，請確認您的網路連接良好，然後請在終端中輸入以下命令：

sudo apt-get install aide

根據系統提示輸入您的密碼，如果ubuntu驗證通過，AIDE安裝包將會被下載並自動開始安裝。 在安裝過程中，一個配置資訊視窗會出現，提示你每天的報告會預設發送給root使用者，但是你可以通過編輯設定檔 /etc/default/aide來進行修改。 請按下回車鍵來確認這則消息。

然後系統會詢問你是否現在進行AIDE資料庫的初始化。 現在，請輸入Yes，並按下回車鍵。 下一個對話方塊會詢問你是否要覆蓋已存在的資料庫。 如果這是你第一次安裝AIDE，請選擇Yes並按回車鍵。