aide使用手册

来源：Linux-cn.com 作者：Webmaster 时间：2007-05-05 点击： [收藏] [投稿]

3.3 宏

@@define VAR var

把变量VAR的值定义为var。

@@undef VAR

取消VAR变量的定义。

@@ifdef VAR,@@ifndef VAR

@@ifdef是一个if状态的开始，一个if状态必须以@@endif宏结束。@@ifdef和@@endif之间的选项取决于变量VAR是否被定义。如果在@@ifdef和@@endif之间使用了@@else宏，就表示如果VAR变量已经定义就使用@@ifdef和@@else之间的选项；否则就使用@@else和@@endif之间的选项。@@ifndef在逻辑上和@@ifdef相反的，用法差不多。

@@{VAR}

使用VAR变量的值代替@@{VAR}。如果变量VAR没有定义就使用一个空字符串。

@@ifhost hostname,@@ifnhost hostname

用法和@@ifdef类似。检查hostname是否等于运行AIDE的主机名。hostname是主机名，不包括域名。

@@else

if状态else部分的开始

@@endif

if状态的结束

3.4 URL

　　AIDE当前支持的URL如下。注意：输入的URL不能和输出的URL相同，反之亦然。

stdout,stderr

输出到标准输出设备或者标准错误输出设备

stdin

从标准输入设备输入

file://filename

从文件filename输入，或者输出到文件filename。

fd:number

从文件描述符number输入或者输出。

aide的后续版本将会支持更多的URL，例如：email报告，syslog等。

3.5 DEFAULT GROUPS

　　AIDE默认的组有以下这些：

p 权限
inode 索引节点
n 连接数量
u 用户
g 用户组
s 大小
m 最后一次修改时间
a 最后一次访问时间
c 创建时间
S 检查增加的大小
md5 md5校验
sha1 sha1校验
rmd160 校验
tiger tiger校验
R p+i+n+u+g+s+m+c+md5
L p+i+n+u+g
E 空组
> 增长的日志文件p+u+g+i+n+S

如果在编译时，加入了mhash库的支持，还可以使用如下的组：

crc32 crc32校验
haval haval校验
gost gost校验

3.6 例子

将机器上的所有文件都加入数据库。使用md5对文件的权限、索引节点、连接数量、用户、用户组、大小、最后修改时间以及创建时间进行校验。

!/dev

忽略/dev目录

=/tmp$

只把/tmp目录加入到数据库，不包括其子目录。

ALL=p+i+n+u+g+s+m+c+a+md5+sha1+tiger+rmd160

定义了一个新的组。包括所有的属性和所有的md校验功能。

　　通常，进行配置时，要尽量忽略经常8变动的目录和文件，例如：临时目录、邮件spool目录、日志目录、porc文件系统、用户起始目录、WEB正文目录以及其它经常变动的目录和文件。此外，要尽量包含所有的系统二进制文件、库文件、包含文件、系统源文件。其它一些你不经常注意的文件和目录，例如：/dev、usr/man/*、/usr/包含在内。

　　注意:如果你只想包含单个文件，就应该在表达式的结尾加$。例如：=/tmp$，表示只把tmp目录加入，而不包括其子目录。

4.使用

　　使用AIDE的第一件事当然是建立一个数据库，以便将来检查。这项工作要在系统或者应用程序安装完毕以后，要连接到网络上之前进行。可以使用以下参数启动AIDE完成这项工作：

aide --init

数据库产生后一定要放到一个安全的地方。

aide有两种参数：命令参数和选项参数，以下是aide的命令参数：