CentOS 6
Sponsored Link

AIDE : インストール
2015/04/06
 
ホスト型 IDS (Intrusion Detection System) の AIDE (Advanced Intrusion Detection Environment) のインストールと設定です。
[1] AIDE をインストールします。
[root@dlp ~]#
yum -y install aide
[2] AIDE を設定してデータベースを初期化します。設定はデフォルトのままでも利用できますが、監視対象を調整する場合は設定ファイルを変更します。 設定ルールについては、設定ファイルの 26-84行目あたりで説明してありますので参考にしてください。
[root@dlp ~]#
vi /etc/aide.conf
# 例として、/var/log の監視を変更

/var/log  
p+u+g+i+n+acl+selinux+xattrs
# データベース初期化

[root@dlp ~]#
aide --init


AIDE, version 0.14

### AIDE database at /var/lib/aide/aide.db.new.gz initialized.

# 生成された DB をマスター DB へコピー

[root@dlp ~]#
cp /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
[3] チェックを実行します。
# チェック実行

[root@dlp ~]#
aide --check
# DB との差分がない場合は以下のように Okay と表示される


AIDE, version 0.14

### All files match AIDE database. Looks okay!

# 任意のファイルを変更して再度チェック実行

[root@dlp ~]#
chmod 640 /root/install.log

[root@dlp ~]#
aide --check
# 以下のように差分が検出される

AIDE found differences between database and filesystem!!
Start timestamp: 2015-04-06 20:35:38

Summary:
  Total number of files:        33119
  Added files:                  0
  Removed files:                0
  Changed files:                1

---------------------------------------------------
Changed files:
---------------------------------------------------

changed: /root/install.log

--------------------------------------------------
Detailed information about changes:
---------------------------------------------------

File: /root/install.log
  Permissions: -rw-r--r--                , -rw-r-----
  Ctime    : 2012-04-11 11:54:44       , 2015-04-07 10:35:15
ACL: old = A:
----
user::rw-
group::r--
other::r--
----
           D:<NONE>
     new = A:
----
user::rw-
group::r--
other::---
----
           D:<NONE>
[4] チェック実行と、変更が検出されたが内容に問題ない場合にデータベースの更新を行う場合は以下のようにします。
[root@dlp ~]#
aide --update
AIDE found differences between database and filesystem!!
Start timestamp: 2015-04-06 20:35:38

Summary:
  Total number of files:        33119
  Added files:                  0
  Removed files:                0
  Changed files:                1

---------------------------------------------------
Changed files:
---------------------------------------------------

changed: /root/install.log
.....
.....

# データベース更新

[root@dlp ~]#
cp /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
[5] 定期的にチェックするよう Cron に登録します。 チェック結果のログファイル [/var/log/aide/aide.log] はチェックの都度上書きされる上に、差分がない場合はゼロバイトでの上書きになるため、 チェック結果を毎回保存しておきたい場合は、シェルスクリプトで対応するか、毎回メールで結果を送信する等の工夫が必要です。
# 例として、毎日午前一時にチェック実行し、結果を root 宛にメールで送信

[root@dlp ~]#
00 01 * * * /usr/sbin/aide --update | mail -s 'Daily Check by AIDE' root
 
Tweet