Advanced Intrusion Detection Environment

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen
AIDE

Basisdaten

Entwickler Hannes von Haugwitz
Aktuelle Version 0.18.5
(30. Juni 2023)
Betriebssystem GNU/Linux/Unix, macOS, BSD u. a.
Programmier­sprache C
Kategorie Audit
Lizenz GPL-2.0
deutschsprachig nein
aide.github.io

Advanced Intrusion Detection Environment (AIDE) ist der Name eines Intrusion Detection Systems, das unter den Bedingungen der GNU General Public License (GPL) lizenziert ist. Es wurde ursprünglich von Rami Lehti und Pablo Virolainen als freie Alternative für das kommerzielle Tripwire entwickelt.

Das Programm kann als kostengünstige Baseline-Steuerung und als Rootkit-Erkennungssystem eingesetzt werden.

Funktionalität

[Bearbeiten | Quelltext bearbeiten]

Aide erstellt eine Momentaufnahme (Schnappschuss) des Systemzustands, erfasst dabei Prüfsummen, Änderungszeitpunkte und weitere Merkmale, die sich auf Dateien beziehen, die vorher vom Administrator festgelegt wurden. Dieser Schnappschuss wird verwendet, um eine Datenbank aufzubauen, die wahlweise zur Sicherung auf einem externen Datenträger gesichert und wiederhergestellt werden kann.

Wenn ein Administrator einen Integritätstest durchführen will, legt er die vorher erstellte Datenbank auf einem erreichbaren Datenträger bereit und weist AIDE an, den Zustand in der Datenbank mit dem Zustand im gerade laufenden System zu vergleichen. Sollten sich dabei Veränderungen zeigen, wird AIDE diese entdecken und dem Administrator berichten. Alternativ kann AIDE auch so konfiguriert werden, dass es automatisch zu bestimmten Zeitpunkten läuft und täglich berichtet, welche Veränderungen sich ergeben haben. Üblicherweise werden dafür zeitgesteuerte Dienste wie cron benutzt.