Advanced Intrusion Detection Environment

Software

Advanced Intrusion Detection Environment (AIDE) ist der Name eines Intrusion Detection Systems, das unter den Bedingungen der GNU General Public License (GPL) lizenziert ist. Es wurde ursprünglich von Rami Lehti und Pablo Virolainen als freie Alternative für das kommerzielle Tripwire entwickelt.

AIDE

Basisdaten

Entwickler Hannes von Haugwitz
Aktuelle Version 0.18.5
(30. Juni 2023)
Betriebssystem GNU/Linux/Unix, macOS, BSD u. a.
Programmier­sprache C
Kategorie Audit
Lizenz GPL-2.0
deutschsprachig nein
aide.github.io

Das Programm kann als kostengünstige Baseline-Steuerung und als Rootkit-Erkennungssystem eingesetzt werden.

Funktionalität

Bearbeiten

Aide erstellt eine Momentaufnahme (Schnappschuss) des Systemzustands, erfasst dabei Prüfsummen, Änderungszeitpunkte und weitere Merkmale, die sich auf Dateien beziehen, die vorher vom Administrator festgelegt wurden. Dieser Schnappschuss wird verwendet, um eine Datenbank aufzubauen, die wahlweise zur Sicherung auf einem externen Datenträger gesichert und wiederhergestellt werden kann.

Wenn ein Administrator einen Integritätstest durchführen will, legt er die vorher erstellte Datenbank auf einem erreichbaren Datenträger bereit und weist AIDE an, den Zustand in der Datenbank mit dem Zustand im gerade laufenden System zu vergleichen. Sollten sich dabei Veränderungen zeigen, wird AIDE diese entdecken und dem Administrator berichten. Alternativ kann AIDE auch so konfiguriert werden, dass es automatisch zu bestimmten Zeitpunkten läuft und täglich berichtet, welche Veränderungen sich ergeben haben. Üblicherweise werden dafür zeitgesteuerte Dienste wie cron benutzt.

Bearbeiten