Advanced Intrusion Detection Environment
Advanced Intrusion Detection Environment — система обнаружения вторжений, изначально созданная как свободная замена Tripwire и распространяющаяся на условиях лицензии GNU General Public License (GPL).
Основными разработчиками являются Rami Lehti и Pablo Virolainen, связанные с Тампереским технологическим университетом, а также независимый нидерландский консультант по безопасности Ричард ван ден Берг. Проект применяется на многих unix-подобных системах в качестве недорогого решения для контроля эталонного состояния системы и выявления руткитов.
Общие сведения
| Advanced Intrusion Detection Environment | |
|---|---|
| Тип | система обнаружения вторжений (HIDS) |
| Разработчики | Rami Lehti, Pablo Virolainen |
| Написана на | C |
| Операционная система | Unix-подобные |
| Последняя версия |
|
| Репозиторий | github.com/aide/aide |
| Лицензия | GNU General Public License |
| Сайт | aide.github.io |
Возможности
AIDE делает «снимок» состояния системы: сохраняет хеши, время изменения и другие данные о файлах, определённых администратором. Этот «снимок» используется для построения базы данных, которая сохраняется и может быть размещена на внешнем носителе для надёжного хранения.
Когда администратор запускает проверку целостности, он помещает ранее созданную базу данных в доступное место и указывает AIDE сравнить её с текущим состоянием системы. Если после создания снимка в системе произошли изменения, AIDE обнаружит их и сообщит администратору. Также AIDE может быть настроена на регулярный запуск с ежедневным информированием о изменениях с помощью планировщика задач, например cron, что является стандартным поведением в пакете AIDE для Debian[2].
Это особенно полезно для безопасности: любые вредоносные изменения в системе будут обнаружены и записаны AIDE.