AIDE

一、AIDE的概念 AIDE：Advanced Intrusion Detection Environment，是一款入侵检测工具，主要用途是检查文档的完整性。AIDE在本地构造了一个基准的数据库，一旦操作系统被入侵，可以通过对比基准数据库而获取文件变更记录，使用aide.conf作为其配置文档。AIDE数据库能够保存文档的各种属性，包括：权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文档大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小连同连接数。AIDE还能够使用下列算法：sha1、md5、rmd160、tiger，以密文形式建立每个文档的校验码或散列号。 二、AIDE使用 1.安装aide yum install aide -y 2.配置文件所在路径：/etc/aide.conf 3.对AIDE的配置文件进行检测：aide -D 　　 4.创建一个文件test1.txt 5.根据aide.conf的配置进行初始化数据库 aide -c /etc/aide.conf -i 　　 6.将新的初始化的数据库进行重命名 　　cd /var/lib/aide/ 　　cp aide.db.new.gz aide.db.gz 　　 7.修改刚才创建的文件　 8

转载链接： https://blog.csdn.net/u011456940/article/details/57416526 OpenSSL 是一个安全套接字层密码库，囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议，并提供丰富的应用程序供测试或其它目的使用． 　　SSL是Secure Sockets Layer（安全套接层协议）的缩写，可以在Internet上提供秘密性传输。Netscape公司在推出第一个Web浏览器的同时，提出了SSL协议标准。其目标是保证两个应用间通信的保密性和可靠性,可在服务器端和用户端同时实现支持。已经成为Internet上保密通讯的工业标准。 　　SSL能使用户/服务器应用之间的通信不被×××者窃听，并且始终对服务器进行认证，还可选择对用户进行认证。SSL协议要求建立在可靠的传输层协议(TCP)之上。SSL协议的优势在于它是与应用层协议独立无关的，高层的应用层协议(例如：HTTP，FTP，TELNET等)能透明地建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商及服务器认证工作。在此之后应用层协议所传送的数据都会被加密，从而保证通信的私密性。 　　传输层协议:TCP,UDP,SCTP.传输层协议的每一种都会提供端口,端口是用来标识进程地址的,但是端口却是由内核上的传输层协议所提供,所以每一个进程所启动时

Windows Everything 基于名称快速定位文件和文件夹 QuickLook 一款免费的轻量级快速预览工具。它能够在不运行关联程序的情况下，通过敲击空格键快速预览文件内容。 Quicker 一款高效专业的软件快速启动工具，功能强劲，操作简便，支持用户利用鼠标中键唤出软件启动面板，可以帮助用户为各种软件或系统工具建立快捷启动方式，让您使用电脑时更加方便、简单。 Listary Pro 一款工作中那些用来提高你的效率的神器，它可以为你 Windows 的「文件浏览对话框」、「资源管理器」等增加非常方便的文件快速定位、实时全盘搜索、常用文件夹收藏、打开历史、快速切换到已打开的路径、快捷右键菜单等一系列非常实用和高效的功能 FileLocator Pro 一款非常专业的搜索工具。不同于 Everything 和 Listary Pro 这类文件名快速索引工具， Filelocator Pro 不仅能搜索文件名，更擅长对指定文件和目录进行 全文搜索，并且支持 多种搜索表达式 以及 日期属性等 细节设定，快速准确定位您所需要的文档，提高搜索效率。 Winhttrack 一个把网站下载复制到本地的离线浏览器工具，winhttrack让你在没有网络的时候也可以浏览看过的网页，各种图文显示，非常方便，实用性很强。 Teleport Ultra 一款扒站的神器

AIDE 概念： AIDE：Advanced Intrusion Detection Environment，是一款入侵检测工具，主要用途是检查文档的完整性。AIDE在本地构造了一个基准的数据库，一旦操作系统被入侵，可以通过对比基准数据库而获取文件变更记录，使用aide.conf作为其配置文档。AIDE数据库能够保存文档的各种属性，包括：权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文档大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小连同连接数。AIDE还能够使用下列算法：sha1、md5、rmd160、tiger，以密文形式建立每个文档的校验码或散列号。 安装： [root@ecs-proxy ~]# yum -y install aide 可以根据需求修改配置文件对指定的文件进行检测 [root@ecs-proxy ~]# vim /etc/aide.conf # Example configuration file for AIDE. @@define DBDIR /var/lib/aide //数据库目录 @@define LOGDIR /var/log/aide //日志目录 # The location of the database to be

阿里云 > 教程中心 > linux教程 > 在CentOS上配置基于主机的入侵检测系统（IDS） 在CentOS上配置基于主机的入侵检测系统（IDS） 发布时间：2018-01-19 来源：网络 上传者：用户 关键字: 检测 主机 发表文章 摘要：所有系统管理员想要在他们生产服务器上首先要部署的安全手段之一,就是检测文件篡改的机制——不仅仅是文件内容,而且也包括它们的属性。AIDE(“高级入侵检测环境”的简称)是一个开源的基于主机的入侵检测系统。AIDE通过检查大量文件属性的不一致性来检查系统二进制文件和基本配置文件的完整性,这些文件属性包括权限、文件类型、索引节点、链接数、链接名、用户、组、文件大小、块计数、修改时间、添加时间、创建时间、acl、SELinux安全上下文、xattrs,以及md5/sha校验值在内的各 所有系统管理员想要在他们生产服务器上首先要部署的安全手段之一,就是检测文件篡改的机制——不仅仅是文件内容,而且也包括它们的属性。 AIDE (“高级入侵检测环境”的简称)是一个开源的基于主机的入侵检测系统。AIDE通过检查大量文件属性的不一致性来检查系统二进制文件和基本配置文件的完整性,这些文件属性包括权限、文件类型、索引节点、链接数、链接名、用户、组、文件大小、块计数、修改时间、添加时间、创建时间、acl、SELinux安全上下文、xattrs,以及md5

一、AIDE的概念 AIDE：Advanced Intrusion Detection Environment，是一款入侵检测工具，主要用途是检查文档的完整性。AIDE在本地构造了一个基准的数据库，一旦操作系统被入侵，可以通过对比基准数据库而获取文件变更记录，使用aide.conf作为其配置文档。AIDE数据库能够保存文档的各种属性，包括：权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文档大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小连同连接数。 一旦出现AIDE监控的文件被篡改的情况，AIDE会触发告警，通知管理员。 AIDE还能够使用下列算法：sha1、md5、rmd160、tiger，以密文形式建立每个文档的校验码或散列号。 二、AIDE使用 1.安装aide yum install aide -y 2.配置文件所在路径：/etc/aide.conf 3.对AIDE的配置文件进行检测：aide -D 4.生成出初化数据库 ，初始化的时间会比较长，耐心等待下 [root@dn3 data]# aide -i AIDE, version 0.15.1 ### AIDE database at /var/lib/aide/aide.db.new.gz

crontab使用方法： *　　*　　*　　*　　* 　　command 分　时　日　月　周 　命令 第1列表示分钟1～59 （每分钟用*或者 /1表示， /5 代表每5分钟） 第2列表示小时1～23（0表示0点） 第3列表示日期1～31 第4列表示月份1～12 第5列标识号星期0～6（0表示星期天） 第6列要运行的命令 实用命令 crontab -l #查看计划任务列表 crontab -e #进入编辑计划任务模式 grep 'SSH' /var/spool/cron/root &>/dev/null ||echo '*/5 * * * * sh /root/SSH_Deny_Rule.sh' >> /var/spool/cron/root #没有添加任务时追加一个 <!--more--> while秒级任务 #!/bin/bash while true do command sleep 20 ###睡眠20秒执行一次 done while true ;do /home/aide.sh >/dev/null 2>&1 sleep 7200 #2小时检测 done crontab 秒级任务 * * * * * sleep 10; php /home/php/crontab/tolog.php 实例: 0 1 * * * /root/backup_mysql.sh 凌晨1点备份 30

简介 AIDE（高级入qin检测环境）是文件完整性检查程序和入qin检测程序。 特性 主要用途是检查文件的完整性，审计计算机上哪些文件被更改过。 AIDE根据从/etc/aide.conf配置文件中找到的正则表达式规则创建数据库。初始化该数据库后，就可以用来验证文件的完整性。还可以检查所有通常的文件属性是否存在不一致。它可以读取旧版本或更新版本的数据库。AIDE数据库能够保存文件的各种属性，包括：权限（permission）、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文件大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小以及连接数。AIDE还能够使用下列算法：sha1、md5、rmd160、tiger，以密文形式建立每个文件的校验码或散列号。 这个数据库不应该保存那些经常变动的文件信息，例如：日志文件、邮件、/proc文件系统、用户其实目录以及临时目录。 背景 当一个入qin者进入了你的系统并且种植了木ma，通常会想办法来隐蔽这个木ma（除了木ma自身的一些隐蔽特性外，他会尽量给你检查系统的过程设置障碍），通常入qin者会修改一些文件，比如管理员通常用ps aux来查看系统进程，那么入qin者很可能用自己经过修改的ps程序来替换掉你系统上的ps程序，以使用ps命令查不到正在运行的木ma程序