AIDE : ホスト型 IDS2022/08/30 |
|
ホスト型 IDS (Intrusion Detection System) の AIDE (Advanced Intrusion Detection Environment) のインストールと設定です。
|
|
| [1] | AIDE をインストールします。 |
|
root@dlp:~# apt -y install aide
|
| [2] | AIDE を設定してデータベースを初期化します。設定はデフォルトのままでも利用できますが、監視対象を調整する場合は設定ファイルを変更します。 設定ルールについての詳細は、[man aide.conf] で確認可能です。 |
|
root@dlp:~#
vi /etc/default/aide # 8行目 : Cron で日時チェックしない場合はコメント解除して [no] に変更 #CRON_DAILY_RUN=yes
root@dlp:~#
vi /etc/aide/aide.conf # 最終行に追記 : 必要に応じてチェックを除外するディレクトリを設定
!/var/log
!/var/lib/aide !/var/lib/apt !/var/lib/dpkg !/var/cache !/run # データベース初期化 root@dlp:~# aide --init --config /etc/aide/aide.conf
Start timestamp: 2022-08-30 03:55:41 +0000 (AIDE 0.17.4)
AIDE initialized database at /var/lib/aide/aide.db.new
Ignored e2fs attributes: EIh
Number of entries: 140924
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db.new
SHA256 : qX5SmeDv79zhLbP48e3lZrV71nLo8HNV
qru/kPKM10k=
SHA512 : hP5P32xNwk5raG1nPdeYsgYcrMTwwQqL
2yjyEXVwONaNcsD72dedSunbgxXZfuTK
Ey7NpvoV3J2bx/a/qB7nxw==
RMD160 : AAueVtKLO6ofFv0A9OVPw7r+Gy8=
TIGER : zXkLcHHEuBy2GWM6CppkjUvCXbsKw7Bg
CRC32 : 6gsYXA==
HAVAL : 1MY0ba96vArmUh3ALnfmszMZ0vZ4Y1/z
uI1UB8bpjAo=
WHIRLPOOL : BhsXiPEt3sHhuDHzD6eAX3ZHdymmKRe4
z8qoMEbpPO9kXlT7gul6874WEhqe7Tok
bOhGwsRYL5WkO0143vQFsQ==
GOST : pXSi34f2QfEKYvekRxKRl/hqIGo7b7q2
ffNVrAUmwf8=
End timestamp: 2022-08-30 04:02:15 +0000 (run time: 6m 34s)
# 生成された DB をマスター DB へコピー root@dlp:~# cp -p /var/lib/aide/aide.db.new /var/lib/aide/aide.db
|
| [3] | チェックを実行します。 |
|
# チェック実行 root@dlp:~# aide --check --config /etc/aide/aide.conf # DB との差分がない場合は以下のように [*** Looks okay] と表示される
Start timestamp: 2022-08-30 04:02:30 +0000 (AIDE 0.17.4)
AIDE found NO differences between database and filesystem. Looks okay!!
Ignored e2fs attributes: EIh
Number of entries: 140924
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db
SHA256 : qX5SmeDv79zhLbP48e3lZrV71nLo8HNV
qru/kPKM10k=
SHA512 : hP5P32xNwk5raG1nPdeYsgYcrMTwwQqL
2yjyEXVwONaNcsD72dedSunbgxXZfuTK
Ey7NpvoV3J2bx/a/qB7nxw==
RMD160 : AAueVtKLO6ofFv0A9OVPw7r+Gy8=
TIGER : zXkLcHHEuBy2GWM6CppkjUvCXbsKw7Bg
CRC32 : 6gsYXA==
HAVAL : 1MY0ba96vArmUh3ALnfmszMZ0vZ4Y1/z
uI1UB8bpjAo=
WHIRLPOOL : BhsXiPEt3sHhuDHzD6eAX3ZHdymmKRe4
z8qoMEbpPO9kXlT7gul6874WEhqe7Tok
bOhGwsRYL5WkO0143vQFsQ==
GOST : pXSi34f2QfEKYvekRxKRl/hqIGo7b7q2
ffNVrAUmwf8=
End timestamp: 2022-08-30 04:11:37 +0000 (run time: 9m 7s)
# 任意のファイルを変更して再度チェック実行 root@dlp:~# touch /root/test.txt root@dlp:~# aide --check --config /etc/aide/aide.conf # 以下のように差分が検出される Start timestamp: 2022-08-30 04:13:52 +0000 (AIDE 0.17.4) AIDE found differences between database and filesystem!! Ignored e2fs attributes: EIh Summary: Total number of entries: 140925 Added entries: 1 Removed entries: 0 Changed entries: 1 --------------------------------------------------- Added entries: --------------------------------------------------- f+++++++++++++++++: /root/test.txt --------------------------------------------------- Changed entries: --------------------------------------------------- d =.... mc.. .. . : /root --------------------------------------------------- Detailed information about changes: --------------------------------------------------- Directory: /root Mtime : 2022-08-30 03:55:34 +0000 | 2022-08-30 04:13:49 +0000 Ctime : 2022-08-30 03:55:34 +0000 | 2022-08-30 04:13:49 +0000 ..... ..... |
| [4] | チェック実行と、変更が検出されたが内容に問題ない場合にデータベースの更新を行う場合は以下のようにします。 |
|
root@dlp:~#
aide --update --config /etc/aide/aide.conf Start timestamp: 2022-08-30 04:26:53 +0000 (AIDE 0.17.4) AIDE found differences between database and filesystem!! New AIDE database written to /var/lib/aide/aide.db.new Ignored e2fs attributes: EIh Summary: Total number of entries: 140925 Added entries: 1 Removed entries: 0 Changed entries: 1 --------------------------------------------------- Added entries: --------------------------------------------------- f+++++++++++++++++: /root/test.txt --------------------------------------------------- Changed entries: --------------------------------------------------- d =.... mc.. .. . : /root --------------------------------------------------- Detailed information about changes: --------------------------------------------------- Directory: /root Mtime : 2022-08-30 03:55:34 +0000 | 2022-08-30 04:13:49 +0000 Ctime : 2022-08-30 03:55:34 +0000 | 2022-08-30 04:13:49 +0000 ..... ..... # データベース更新 root@dlp:~# cp -p /var/lib/aide/aide.db.new /var/lib/aide/aide.db
|
| Sponsored Link |
|
|