安全运维利器：文件系统检测工具AIDE

AIDE(Advanced Intrusion Detection Environment)是一款针对文件和目录进行完整性对比检查的程序，它被开发成Tripwire的一个替代品。

AIDE如何工作

这款工具年纪也不小了，相对来同类工具Tripwire说，它的操作也更加简单。它需要对系统做快照，记录下HASH值，修改时间，以及管理员对文件做的预处理。这个快照可以让管理员建立一个数据库，然后存储到外部设备进行保管。
当管理员想要对系统进行一个完整性检测时，管理员会将之前构建的数据库放置一个当前系统可访问的区域，然后用AIDE将当前系统的状态和数据库进行对比，最后将检测到的当前系统的变更情况报告给管理员。另外，AIDE可以配置为定时运行，利用cron等日程调度技术，每日对系统进行检测报告。
这个系统主要用于运维安全检测，AIDE会向管理员报告系统里所有的恶意更迭情况。

AIDE的特性

支持消息摘要算法：md5, sha1, rmd160, tiger, crc32, sha256, sha512, whirlpool
支持文件属性：文件类型，文件权限，索引节点，UID，GID，链接名称，文件大小，块大小，链接数量，Mtime，Ctime，Atime 
支持Posix ACL，SELinux，XAttrs，扩展文件系统属性
纯文本的配置文件，精简型的数据库
强大的正则表达式，轻松筛选要监视的文件和目录
支持Gzip数据库压缩
独立二进制静态编译的客户端/服务器监控配置

许多Linux发行版里其实也带AIDE的源，你可以输入aptitude install aide直接安装它。
附上Aide 0.15.1的源码下载。

*参考来源：DK，编译/dawner