| AIDE : ホスト型IDS2018/11/29 | 
| 
ホスト型 IDS (Intrusion Detection System) の AIDE (Advanced Intrusion Detection Environment) のインストールと設定です。
 | |
| [1] | AIDE をインストールします。 | 
| root@dlp:~# apt -y install aide  | 
| [2] | AIDE を設定してデータベースを初期化します。設定はデフォルトのままでも利用できますが、監視対象を調整する場合は設定ファイルを変更します。 設定ルールについての詳細は、[man aide.conf] で確認可能です。 | 
| 
root@dlp:~#  vi /etc/default/aide  # 5行目:Cron で日時チェックする場合はコメント解除 #CRON_DAILY_RUN=yes 
root@dlp:~#  vi /etc/aide/aide.conf  # 最終行に追記:必要に応じて除外するディレクトリを設定 
!/var/lib/lxcfs !/var/lib/private/systemd !/var/log/journal # データベース初期化 root@dlp:~# aideinit  Running aide --init... Start timestamp: 2018-11-29 19:26:29 +0900 (AIDE 0.16) AIDE initialized database at /var/lib/aide/aide.db.new Verbose level: 6 Number of entries: 78734 --------------------------------------------------- The attributes of the (uncompressed) database(s): --------------------------------------------------- /var/lib/aide/aide.db.new ..... ..... End timestamp: 2018-11-29 19:27:39 +0900 (run time: 1m 10s) # 生成された DB をマスター DB へコピー root@dlp:~# cp -p /var/lib/aide/aide.db.new /var/lib/aide/aide.db  | 
| [3] | チェックを実行します。 | 
| # チェック実行 root@dlp:~# aide.wrapper --check  # DB との差分がない場合は以下のように [*** Looks okay] と表示される Start timestamp: 2018-11-29 19:36:45 +0900 (AIDE 0.16) AIDE found NO differences between database and filesystem. Looks okay!! Verbose level: 6 Number of entries: 78717 --------------------------------------------------- The attributes of the (uncompressed) database(s): --------------------------------------------------- /var/lib/aide/aide.db ..... ..... End timestamp: 2018-11-29 19:38:00 +0900 (run time: 1m 15s) # 以下のように差分が検出される Start timestamp: 2018-11-29 19:38:48 +0900 (AIDE 0.16) AIDE found differences between database and filesystem!! Verbose level: 6 Summary: Total number of entries: 78718 Added entries: 1 Removed entries: 0 Changed entries: 1 --------------------------------------------------- Added entries: --------------------------------------------------- f++++++++++++++++: /root/test.txt --------------------------------------------------- Changed entries: --------------------------------------------------- d =.... mc.. .. .: /root --------------------------------------------------- Detailed information about changes: --------------------------------------------------- Directory: /root Mtime : 2018-11-29 19:34:57 +0900 | 2018-11-29 19:38:37 +0900 Ctime : 2018-11-29 19:34:57 +0900 | 2018-11-29 19:38:37 +0900 ..... ..... End timestamp: 2018-11-29 19:40:02 +0900 (run time: 1m 14s) | 
| [4] | チェック実行と、変更が検出されたが内容に問題ない場合にデータベースの更新を行う場合は以下のようにします。 | 
| 
root@dlp:~#  aide.wrapper --update  Start timestamp: 2018-11-29 19:42:19 +0900 (AIDE 0.16) AIDE found differences between database and filesystem!! New AIDE database written to /var/lib/aide/aide.db.new Verbose level: 6 Summary: Total number of entries: 78718 Added entries: 1 Removed entries: 0 Changed entries: 3 --------------------------------------------------- Added entries: --------------------------------------------------- f++++++++++++++++: /root/test.txt --------------------------------------------------- Changed entries: --------------------------------------------------- d =.... mc.. .. .: /root f >.... mci.C.. .: /root/.viminfo d =.... mc.. .. .: /usr/bin ..... ..... # データベース更新 root@dlp:~# cp -p /var/lib/aide/aide.db.new /var/lib/aide/aide.db  | 
| Sponsored Link | 
|  |