介绍

AIDE能够构造一个指定文档的数据库，他使用aide.conf作为其配置文档。AIDE数据库能够保存文档的各种属性，包括：权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文档大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小连同连接数。AIDE还能够使用下列算法：sha1、md5、rmd160、tiger，以密文形式建立每个文档的校验码或散列号。

在系统安装完毕，要连接到网络上之前，系统管理员应该建立新系统的AIDE数据库。这第一个AIDE数据库是系统的一个快照和以后系统升级的准绳。数据库应该包含这些信息：关键的系统二进制可执行程式、动态连接库、头文档连同其他总是保持不变的文档。这个数据库不应该保存那些经常变动的文档信息，例如：日志文档、邮件、/proc文档系统、用户起始目录连同临时目录。

一旦发现系统被侵入，系统管理员可能会使用ls、ps、netstat连同who等系统工具对系统进行检查，但是任何这些工具都可能被特洛伊木马程式代替了。能够想象被修改的ls程式将不会显示任何有关入侵的文档信息，ps也不会显示任何入侵进程的信息。即使系统管理员已把关键的系统文档的日期、大小等信息都打印到了纸上，恐怕也无法通过比较知道他们是否被修改过了，因为文档日期、大小等信息是很容易改变的，一些比较好的rootkit能够很轻松地对这些信息进行假冒。

虽然文档的日期、大小等信息可能被假冒，但是假冒某个文档的一个加密校验码(例如：md5)就很困难了，更不要说假冒任何AIDE支持的校验码了。在系统被侵入后，系统管理员只要重新运行AIDE，就能够很快识别出哪些关键文档被攻击者修改过了。

但是，要注意这也不是绝对的，因为AIDE可执行程式的二进制文档本身可能被修改了或数据库也被修改了。因此，应该把AIDE的数据库放到安全的地方，而且进行检查时要使用确保没有被修改过的程式。

编译

快速安装

假如您已安装了任何所需的软件，只要输入以下命令，就能够安装好AIDE了。

#tar zxvf aide-版本号.tar.gz

#cd aide-版本号

#./configure

#make

#make install

获取所需的软件

在编译安装AIDE之前，应该首先获取以下软件：

ANSI C编译器(例如：GCC)。

GNU Flex

GNU Bison