AIDE : ホスト型 IDS2022/08/30

	ホスト型 IDS (Intrusion Detection System) の AIDE (Advanced Intrusion Detection Environment) のインストールと設定です。
[1]	AIDE をインストールします。

root@dlp:~#

apt -y install aide

[2]	AIDE を設定してデータベースを初期化します。設定はデフォルトのままでも利用できますが、監視対象を調整する場合は設定ファイルを変更します。設定ルールについての詳細は、[man aide.conf] で確認可能です。

root@dlp:~#

vi /etc/default/aide

# 8行目 : Cron で日時チェックしない場合はコメント解除して [no] に変更

#CRON_DAILY_RUN=yes

root@dlp:~#

vi /etc/aide/aide.conf

# 最終行に追記 : 必要に応じてチェックを除外するディレクトリを設定

!/var/log
!/var/lib/aide
!/var/lib/apt
!/var/lib/dpkg
!/var/cache
!/run

# データベース初期化

root@dlp:~#

aide --init --config /etc/aide/aide.conf

Start timestamp: 2022-08-30 03:55:41 +0000 (AIDE 0.17.4)
AIDE initialized database at /var/lib/aide/aide.db.new
Ignored e2fs attributes: EIh

Number of entries:      140924

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new
 SHA256    : qX5SmeDv79zhLbP48e3lZrV71nLo8HNV
             qru/kPKM10k=
 SHA512    : hP5P32xNwk5raG1nPdeYsgYcrMTwwQqL
             2yjyEXVwONaNcsD72dedSunbgxXZfuTK
             Ey7NpvoV3J2bx/a/qB7nxw==
 RMD160    : AAueVtKLO6ofFv0A9OVPw7r+Gy8=
 TIGER     : zXkLcHHEuBy2GWM6CppkjUvCXbsKw7Bg
 CRC32     : 6gsYXA==
 HAVAL     : 1MY0ba96vArmUh3ALnfmszMZ0vZ4Y1/z
             uI1UB8bpjAo=
 WHIRLPOOL : BhsXiPEt3sHhuDHzD6eAX3ZHdymmKRe4
             z8qoMEbpPO9kXlT7gul6874WEhqe7Tok
             bOhGwsRYL5WkO0143vQFsQ==
 GOST      : pXSi34f2QfEKYvekRxKRl/hqIGo7b7q2
             ffNVrAUmwf8=


End timestamp: 2022-08-30 04:02:15 +0000 (run time: 6m 34s)

# 生成された DB をマスター DB へコピー

root@dlp:~#

cp -p /var/lib/aide/aide.db.new /var/lib/aide/aide.db

[3]	チェックを実行します。

# チェック実行

root@dlp:~#

aide --check --config /etc/aide/aide.conf

# DB との差分がない場合は以下のように [*** Looks okay] と表示される

Start timestamp: 2022-08-30 04:02:30 +0000 (AIDE 0.17.4)
AIDE found NO differences between database and filesystem. Looks okay!!
Ignored e2fs attributes: EIh

Number of entries:      140924

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db
 SHA256    : qX5SmeDv79zhLbP48e3lZrV71nLo8HNV
             qru/kPKM10k=
 SHA512    : hP5P32xNwk5raG1nPdeYsgYcrMTwwQqL
             2yjyEXVwONaNcsD72dedSunbgxXZfuTK
             Ey7NpvoV3J2bx/a/qB7nxw==
 RMD160    : AAueVtKLO6ofFv0A9OVPw7r+Gy8=
 TIGER     : zXkLcHHEuBy2GWM6CppkjUvCXbsKw7Bg
 CRC32     : 6gsYXA==
 HAVAL     : 1MY0ba96vArmUh3ALnfmszMZ0vZ4Y1/z
             uI1UB8bpjAo=
 WHIRLPOOL : BhsXiPEt3sHhuDHzD6eAX3ZHdymmKRe4
             z8qoMEbpPO9kXlT7gul6874WEhqe7Tok
             bOhGwsRYL5WkO0143vQFsQ==
 GOST      : pXSi34f2QfEKYvekRxKRl/hqIGo7b7q2
             ffNVrAUmwf8=


End timestamp: 2022-08-30 04:11:37 +0000 (run time: 9m 7s)

# 任意のファイルを変更して再度チェック実行

root@dlp:~#

touch /root/test.txt

root@dlp:~#

aide --check --config /etc/aide/aide.conf

# 以下のように差分が検出される

Start timestamp: 2022-08-30 04:13:52 +0000 (AIDE 0.17.4)
AIDE found differences between database and filesystem!!
Ignored e2fs attributes: EIh

Summary:
  Total number of entries:      140925
  Added entries:                1
  Removed entries:              0
  Changed entries:              1

---------------------------------------------------
Added entries:
---------------------------------------------------

f+++++++++++++++++: /root/test.txt

---------------------------------------------------
Changed entries:
---------------------------------------------------

d =.... mc.. .. . : /root

---------------------------------------------------
Detailed information about changes:
---------------------------------------------------

Directory: /root
 Mtime     : 2022-08-30 03:55:34 +0000        | 2022-08-30 04:13:49 +0000
 Ctime     : 2022-08-30 03:55:34 +0000        | 2022-08-30 04:13:49 +0000
.....
.....

[4]	チェック実行と、変更が検出されたが内容に問題ない場合にデータベースの更新を行う場合は以下のようにします。

root@dlp:~#

aide --update --config /etc/aide/aide.conf

Start timestamp: 2022-08-30 04:26:53 +0000 (AIDE 0.17.4)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new
Ignored e2fs attributes: EIh

Summary:
  Total number of entries:      140925
  Added entries:                1
  Removed entries:              0
  Changed entries:              1

---------------------------------------------------
Added entries:
---------------------------------------------------

f+++++++++++++++++: /root/test.txt

---------------------------------------------------
Changed entries:
---------------------------------------------------

d =.... mc.. .. . : /root

---------------------------------------------------
Detailed information about changes:
---------------------------------------------------

Directory: /root
 Mtime     : 2022-08-30 03:55:34 +0000        | 2022-08-30 04:13:49 +0000
 Ctime     : 2022-08-30 03:55:34 +0000        | 2022-08-30 04:13:49 +0000
.....
.....

# データベース更新

root@dlp:~#

cp -p /var/lib/aide/aide.db.new /var/lib/aide/aide.db