使用 aide 加强和更好地管理您的 Linux 安全！

安全问题一直是热门话题，尤其是在日本这个数字化时代，许多人不可避免地会接触到各种系统。

我是一名Linux服务器管理工​​程师，Linux是我最喜欢的操作系统。每个操作系统都有其优点和缺点，但我喜欢Linux是因为它易于使用。

然而，尽管即使是初学者也能管理 Linux，但它也提供了极大的自由度，允许任何人创建自己的最佳实践。此外，由于每个人的学习经历略有不同，因此不可能以完全相同的方式管理系统。

在生产环境中，系统很可能并非由一人运行，而是由多位工程师共同管理。作为 Linux 管理员，每个人都有自己的“最佳方法”和“规则”，但 Linux 的具体使用方式和规格会根据系统用途、环境以及其他各种因素而有所不同。

在这种情况下……

• “只要把设置写在某个地方就行了！”
• “你根本改变不了！”
• 修改前请先征得许可！
• “是谁改的？”
• 其他的！

管理 Linux 似乎是一项艰巨的任务，但 AIDE 是一个很有用的工具！

什么是助手？

在欧洲和美国，CIS的，由安全社区管理，提供各种系统的基准数据。它提供操作系统乃至中间件最佳实践的详细基准数据。

特别是对于那些管理基于服务器的操作系统的人来说，服务器类型和服务器配置多种多样，因此，使用基准数据作为安全增强的基准，即使你并不了解这些增强措施，也无疑会产生积极的结果。

在 Linux 文档中，您经常会发现推荐使用名为 AIDE 的工具。

aide 是一款名为高级入侵检测环境的文件篡改检测工具。

它是重要的工具，尤其被五角大楼广泛使用。

当您编辑文件时，文件的 SHA 值会发生变化，因此，在 cron 上运行的 AIDE 会提取指定文件或文件路径中所有文件的 SHA 值，在 AIDE 数据库中进行比较，并记录下来。

例子：

如上图所示，您可以查看哪些文件已更改。

试试用辅助工具！

1. 安装助手！

AIDE 是一款非常实用且必要的工具，因此在 deb 和 rhel 等 Linux 发行版的标准存储库中均可找到，安装起来非常方便。

RHEL系列

yum install aide

基于 Debian 的

apt install aide

安装完成后，检查版本！

助手 -v

2. 检查并编辑辅助设置。

/etc/aide/aide.conf

或者

/etc/aide.conf

有一个 AIDE 设置

安装时已应用默认设置，您可以直接使用它们。

您还可以根据自己的需要和喜好更改配置文件、数据库等。

3. 初始化助手

RHEL系列

助手 --init

基于 Debian 的

aideinit

第一次运行时，由于需要记录数据库中所有文件的 SHA 值，因此需要一些时间。

4. 使用 Aide 检查文件是否被篡改！

RHEL系列

助手 --检查

基于 Debian 的

aide.wrapper --检查

使用辅助结果管理文件

AIDE 允许您查看哪些文件已更改，如果出现问题，通常的方法是从备份中恢复，但如果您无法进行备份，则可以使用“ etckeeper ”（在另一篇博客中解释）来恢复保存在 git 中的文件。

 

你能监控一下助手的情况，如果有什么变化就通知我吗？

/etc/default/aide

电子邮件通知的设置说明如下。

此外，您还可以设置监控工具，以便在检测到异常情况时通知您。

这将是一个需要监控的问题，所以我会在下一篇博客中详细介绍！

那好！