AIDE(Advanced Intruder Detection Envionment)是一个在另一个回答中提到的 tripwire
的替代品。根据wikipedia:
高级入侵检测环境(AIDE)最初是作为 Tripwire 的免费替代品开发,根据 GNU 通用公共许可证(GPL)的条款获得许可。
主要开发人员是 Rami Lehti 和 Pablo Virolainen,他们都与坦佩雷理工大学有关,还有独立的荷兰安全顾问 Richard van den Berg。该项目在许多类 Unix 系统上被用作廉价基线控制和 rootkit 检测系统。
功能
AIDE会对系统的状态、注册哈希值、修改时间以及管理员定义的文件等其他数据进行“快照”。这个“快照”用于构建一个数据库,该数据库会被保存并可以存储在外部设备上以备份。
当管理员想要运行完整性测试时,管理员将之前构建的数据库放置在可访问的位置,并命令AIDE将数据库与系统的真实状态进行比较。如果在快照创建和测试之间发生了计算机的变化,AIDE将检测到并向管理员报告。另外,AIDE还可以配置为定期运行,并使用诸如cron之类的调度技术每天报告变化,这是Debian AIDE软件包的默认行为。2
这主要用于安全目的,因为AIDE会报告任何可能发生在系统内部的恶意更改。
自从维基百科的文章撰写以来,原来的维护人员
Richard van den Berg(2003-2010)已被新的维护人员
Hannes von Haugwitz取代,任期为2010年至今。
AIDE主页中说明了Debian的支持,这意味着该应用程序可以在Ubuntu上进行可预测的安装。
sudo apt install aide
关于便携性和USB闪存驱动器支持,主页上继续说道:
它从配置文件中找到的正则表达式规则创建一个数据库。一旦初始化了这个数据库,就可以用它来验证文件的完整性。它具有几种消息摘要算法(见下文),用于检查文件的完整性。还可以检查所有常见的文件属性是否一致。它可以读取旧版本或新版本的数据库。有关更多信息,请参阅分发包中的手册页面。
对我来说,这意味着您可以将签名数据库与应用程序一起放在您的闪存驱动器上,并将其存储在活动的USB持久存储中。我不确定AIDE是否适合您的需求,但作为您当前最喜欢的tripwire的替代品,值得研究一下。
rkhunter
这样的东西可能不会有太大作用。事实上,如果已经安装了rootkit,我预计rkhunter
将不再给出准确的结果,所以只在实际机器上安装这种工具有点荒唐。 - user364819