Ubuntu 18.04
Sponsored Link

AIDE : ホスト型IDS2018/11/29

 
ホスト型 IDS (Intrusion Detection System) の AIDE (Advanced Intrusion Detection Environment) のインストールと設定です。
[1] AIDE をインストールします。
root@dlp:~#
apt -y install aide
[2] AIDE を設定してデータベースを初期化します。設定はデフォルトのままでも利用できますが、監視対象を調整する場合は設定ファイルを変更します。 設定ルールについての詳細は、[man aide.conf] で確認可能です。
root@dlp:~#
vi /etc/default/aide
# 5行目:Cron で日時チェックする場合はコメント解除

#CRON_DAILY_RUN=yes
root@dlp:~#
vi /etc/aide/aide.conf
# 最終行に追記:必要に応じて除外するディレクトリを設定

!/var/lib/lxcfs
!/var/lib/private/systemd
!/var/log/journal
# データベース初期化

root@dlp:~#
aideinit

Running aide --init...
Start timestamp: 2018-11-29 19:26:29 +0900 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new
Verbose level: 6

Number of entries:      78734

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new

.....
.....

End timestamp: 2018-11-29 19:27:39 +0900 (run time: 1m 10s)

# 生成された DB をマスター DB へコピー

root@dlp:~#
cp -p /var/lib/aide/aide.db.new /var/lib/aide/aide.db
[3] チェックを実行します。
# チェック実行

root@dlp:~#
aide.wrapper --check
# DB との差分がない場合は以下のように [*** Looks okay] と表示される

Start timestamp: 2018-11-29 19:36:45 +0900 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!
Verbose level: 6

Number of entries:      78717

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db

.....
.....

End timestamp: 2018-11-29 19:38:00 +0900 (run time: 1m 15s)

# 任意のファイルを変更して再度チェック実行

root@dlp:~#
touch /root/test.txt

root@dlp:~#
aide.wrapper --check
# 以下のように差分が検出される

Start timestamp: 2018-11-29 19:38:48 +0900 (AIDE 0.16)
AIDE found differences between database and filesystem!!
Verbose level: 6

Summary:
  Total number of entries:      78718
  Added entries:                1
  Removed entries:              0
  Changed entries:              1

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /root/test.txt

---------------------------------------------------
Changed entries:
---------------------------------------------------

d =.... mc.. .. .: /root

---------------------------------------------------
Detailed information about changes:
---------------------------------------------------

Directory: /root
  Mtime    : 2018-11-29 19:34:57 +0900        | 2018-11-29 19:38:37 +0900
  Ctime    : 2018-11-29 19:34:57 +0900        | 2018-11-29 19:38:37 +0900

.....
.....

End timestamp: 2018-11-29 19:40:02 +0900 (run time: 1m 14s)
[4] チェック実行と、変更が検出されたが内容に問題ない場合にデータベースの更新を行う場合は以下のようにします。
root@dlp:~#
aide.wrapper --update
Start timestamp: 2018-11-29 19:42:19 +0900 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new
Verbose level: 6

Summary:
  Total number of entries:      78718
  Added entries:                1
  Removed entries:              0
  Changed entries:              3

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /root/test.txt

---------------------------------------------------
Changed entries:
---------------------------------------------------

d =.... mc.. .. .: /root
f >.... mci.C.. .: /root/.viminfo
d =.... mc.. .. .: /usr/bin

.....
.....

# データベース更新

root@dlp:~#
cp -p /var/lib/aide/aide.db.new /var/lib/aide/aide.db
関連コンテンツ