AIDE是什么
发布网友
发布时间:2022-05-25 07:08
共2个回答
热心网友
时间:2024-11-02 14:39
中文名:aide
外文名:Advanced Intrusion Detection Environment
别名:高级入侵检测环境
用途:检查文档的完整性追答含义
AIDE能够构造一个指定文档的数据库,他使用aide.conf作为其配置文档。AIDE数据库能够保存文档的各种属性,包括:权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文档大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小连同连接数。AIDE还能够使用下列算法:sha1、md5、rmd160、tiger,以密文形式建立每个文档的校验码或散列号。
在系统安装完毕,要连接到网络上之前,系统管理员应该建立新系统的AIDE数据库。这第一个AIDE数据库是系统的一个快照和以后系统升级的准绳。数据库应该包含这些信息:关键的系统二进制可执行程式、动态连接库、头文档连同其他总是保持不变的文档。这个数据库不应该保存那些经常变动的文档信息,例如:日志文档、邮件、/proc文档系统、用户起始目录连同临时目录。
一旦发现系统被侵入,系统管理员可能会使用ls、ps、netstat连同who等系统工具对系统进行检查,但是任何这些工具都可能被特洛伊木马程式代替了。能够想象被修改的ls程式将不会显示任何有关入侵的文档信息,ps也不会显示任何入侵进程的信息。即使系统管理员已把关键的系统文档的日期、大小等信息都打印到了纸上,恐怕也无法通过比较知道他们是否被修改过了,因为文档日期、大小等信息是很容易改变的,一些比较好的rootkit能够很轻松地对这些信息进行假冒。
虽然文档的日期、大小等信息可能被假冒,但是假冒某个文档的一个加密校验码(例如:mk5)就很困难了,更不要说假冒任何AIDE支持的校验码了。在系统被侵入后,系统管理员只要重新运行AIDE,就能够很快识别出哪些关键文档被攻击者修改过了。
但是,要注意这也不是绝对的,因为AIDE可执行程式的二进制文档本身可能被修改了或数据库也被修改了。因此,应该把AIDE的数据库放到安全的地方,而且进行检查时要使用确保没有被修改过的程式。
望采纳
热心网友
时间:2024-11-02 14:40
