测试AIDE检查文件篡改
下面的测试环境将演示AIDE是如何来检查文件的完整性的。
测试环境 1
让我们添加一个新文件(如/etc/fake)。
# cat /dev/null > /etc/fake
测试环境 2
让我们修改文件权限,然后看看它是否被检测到。
# chmod 644 /etc/aide.conf
测试环境 3
最后,让我们修改文件内容(如,添加一个注释行到/etc/aide.conf)。
echo "#This is a comment" >> /etc/aide.conf
上面的截图中,第一栏显示了文件的属性,第二栏是AIDE数据库中的值,而第三栏是更新后的值。第三栏中空白部分表示该属性没有改动(如本例中的ACL)。
结尾
如果你曾经发现你自己有很好的理由确信系统被入侵了,但是第一眼又不能确定到底哪些东西被改动了,那么像AIDE这样一个基于主机的入侵检测系统就会很有帮助了,因为它可以帮助你很快识别出哪些东西被改动过,而不是通过猜测来浪费宝贵的时间。谢谢阅读,希望能帮到大家,请继续关注易采站长站,我们会努力分享更多优秀的文章。
