我有一个关于 AIDE(高级入侵检测环境)的问题:我有 Ubuntu,在从终端安装 AIDE 时,我必须进行 Postfix 配置。这是正常的吗?我该怎么做?
非常感谢!
答案1
“apt install aide” 将安装 aide 子系统。不,您不必配置 postfix。重要的目录是用于配置文件的“/etc/aide”和用于 aide 数据库的“/var/lib/aide”。
初始化助手:
aide -c /etc/aide/aide.conf --init
检查或比较文件系统与助手数据库:
aide -c /etc/aide/aide.conf --check
“检查”后更新助手数据库:
aide -c /etc/aide/aide.conf --update
mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db
这些是正常运行所需的最少命令。您需要隐藏某些目录,因为有些目录在正常的 Ubuntu/Linux 操作期间会不断变化。您可以通过在助手配置文件 (/etc/aide/aide.conf) 的末尾输入条目来隐藏目录,如下所示:
!/tmp
!/var/spool
这些只是示例,您还可能希望禁止检查其他目录。我会把这留给感兴趣的人练习,或者我会在下面添加评论,供那些懒惰的人参考。
当我亲自运行 aide 时,我总是切换到数据库目录 (/var/lib/aide)。但请注意,这不是一个快速的过程。在我的托管 5 个网站的生产服务器上,大约需要 27 分钟。
此外,您还可以针对特定文件系统或目录(而不是“所有内容”)运行助手。我也会将此留作练习,供感兴趣的人参考。
这是一个非常容易维护的子系统,99% 的时间我只使用上面的命令(“检查”和“更新”)。当最初安装和配置 aide 时,它将进入一个 cron 作业(/etc/cron.daily/aide),该作业将在 0645 运行。这可以通过“/etc/aide/aide.conf”进行配置。
总会有人说“不,不要使用 /etc/aide/aide.conf 文件。复制一份然后使用。”对此,我的回答是:“我每天都使用 aide,并且发现这是我在每台主机上使用 aide 的最有效方式”。
这应该完全回答了 OP 的问题。我有点自怨自艾,因为我每天都在用它,但因为它真的没什么特别,你可以在一天内真正学会它,并在几天内掌握它。然后,阅读手册页,了解 aide 可以做的所有其他事情。
最后需要注意的是,所有这些说明均基于在 Ubuntu 存储库中测试并运行在 Ubuntu 20.xx 和 22.xx 上的当前版本的助手。