AIDE : ホスト型 IDS2021/09/29

	ホスト型 IDS (Intrusion Detection System) の AIDE (Advanced Intrusion Detection Environment) のインストールと設定です。
[1]	AIDE をインストールします。

root@dlp:~#

apt -y install aide

[2]	AIDE を設定してデータベースを初期化します。設定はデフォルトのままでも利用できますが、監視対象を調整する場合は設定ファイルを変更します。設定ルールについての詳細は、[man aide.conf] で確認可能です。

root@dlp:~#

vi /etc/default/aide

# 8行目 : Cron で日時チェックしない場合はコメント解除して [no] に変更

#CRON_DAILY_RUN=yes

root@dlp:~#

vi /etc/aide/aide.conf

# 最終行に追記 : 必要に応じてチェックを除外するディレクトリを設定

!/var/log

# データベース初期化

root@dlp:~#

aide --init --config /etc/aide/aide.conf

Start timestamp: 2021-09-29 11:46:16 +0900 (AIDE 0.17.3)
AIDE initialized database at /var/lib/aide/aide.db.new

Number of entries:      60348

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new
 SHA256    : keqGXwfYXPRH7T6f5Bg4G5d9NospEMml
             Pd/ffXEPBcI=
 SHA512    : BCM4g241I9eTn8fJEosFegosLFiDNKT2
             /Vd18n8zS28lRAgkSVYwlC+1BFpMEGys
             SrHva7FdrIRvmpxBbQ6yFw==
 RMD160    : /QOh/U5fACDwYHIz/sL4kAnt6Nc=
 TIGER     : NJQ57tlVM3t/PvQFvoUzzVnWiEXDuNut
 CRC32     : ABSl7w==
 HAVAL     : G1MC+Lkor9sHJSREYa34QXzmzhyinJ6b
             RoruRWogdlM=
 WHIRLPOOL : ujY6bMHVMFkggmyTaWlKnAKTJoPODJM/
             iheCSiymzuSZn6ExK8DKq7IlJ1AzT+Bv
             z3NHscmYHsp/jZEY5URtbg==
 GOST      : 8g+gWS5EHCymtIlCjaXzoo3DGa7SPP3E
             H+agoHn90fE=


End timestamp: 2021-09-29 11:48:00 +0900 (run time: 1m 44s)

# 生成された DB をマスター DB へコピー

root@dlp:~#

cp -p /var/lib/aide/aide.db.new /var/lib/aide/aide.db

[3]	チェックを実行します。

# チェック実行

root@dlp:~#

aide --check --config /etc/aide/aide.conf

# DB との差分がない場合は以下のように [*** Looks okay] と表示される

AIDE found NO differences between database and filesystem. Looks okay!!

Number of entries:      60348

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db
 SHA256    : keqGXwfYXPRH7T6f5Bg4G5d9NospEMml
             Pd/ffXEPBcI=
 SHA512    : BCM4g241I9eTn8fJEosFegosLFiDNKT2
             /Vd18n8zS28lRAgkSVYwlC+1BFpMEGys
             SrHva7FdrIRvmpxBbQ6yFw==
 RMD160    : /QOh/U5fACDwYHIz/sL4kAnt6Nc=
 TIGER     : NJQ57tlVM3t/PvQFvoUzzVnWiEXDuNut
 CRC32     : ABSl7w==
 HAVAL     : G1MC+Lkor9sHJSREYa34QXzmzhyinJ6b
             RoruRWogdlM=
 WHIRLPOOL : ujY6bMHVMFkggmyTaWlKnAKTJoPODJM/
             iheCSiymzuSZn6ExK8DKq7IlJ1AzT+Bv
             z3NHscmYHsp/jZEY5URtbg==
 GOST      : 8g+gWS5EHCymtIlCjaXzoo3DGa7SPP3E
             H+agoHn90fE=


End timestamp: 2021-09-29 11:51:17 +0900 (run time: 2m 37s)

# 任意のファイルを変更して再度チェック実行

root@dlp:~#

touch /root/test.txt

root@dlp:~#

aide --check --config /etc/aide/aide.conf

# 以下のように差分が検出される

Start timestamp: 2021-09-29 11:52:25 +0900 (AIDE 0.17.3)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:      60349
  Added entries:                1
  Removed entries:              0
  Changed entries:              1

---------------------------------------------------
Added entries:
---------------------------------------------------

f+++++++++++++++++: /root/test.txt

---------------------------------------------------
Changed entries:
---------------------------------------------------

d =.... mc.. .. . : /root

---------------------------------------------------
Detailed information about changes:
---------------------------------------------------

Directory: /root
 Mtime     : 2021-09-29 11:46:06 +0900        | 2021-09-29 11:51:54 +0900
 Ctime     : 2021-09-29 11:46:06 +0900        | 2021-09-29 11:51:54 +0900
.....
.....

[4]	チェック実行と、変更が検出されたが内容に問題ない場合にデータベースの更新を行う場合は以下のようにします。

root@dlp:~#

aide --update --config /etc/aide/aide.conf

Start timestamp: 2021-09-29 12:00:38 +0900 (AIDE 0.17.3)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new

Summary:
  Total number of entries:      60349
  Added entries:                1
  Removed entries:              0
  Changed entries:              1

---------------------------------------------------
Added entries:
---------------------------------------------------

f+++++++++++++++++: /root/test.txt

---------------------------------------------------
Changed entries:
---------------------------------------------------

d =.... mc.. .. . : /root

---------------------------------------------------
Detailed information about changes:
---------------------------------------------------

Directory: /root
 Mtime     : 2021-09-29 11:46:06 +0900        | 2021-09-29 11:51:54 +0900
 Ctime     : 2021-09-29 11:46:06 +0900        | 2021-09-29 11:51:54 +0900

.....
.....

# データベース更新

root@dlp:~#

cp -p /var/lib/aide/aide.db.new /var/lib/aide/aide.db