ホスト型 IDS (Intrusion Detection System) の AIDE (Advanced Intrusion Detection Environment) のインストールと設定です。
[root@localhost ~]# yum -y install aide |
AIDE を設定してデータベースを初期化します。設定はデフォルトのままでも利用できますが、監視対象を調整する場合は設定ファイルを変更します。 設定ルールについては、設定ファイルの 26-84行目あたりで説明してありますので参考にしてください。
[root@localhost ~]# vi /etc/aide.conf |
# 例として、/var/log の監視を変更 /var/log p+u+g+i+n+acl+selinux+xattrs # データベース初期化 |
[root@localhost ~]# aide --init |
|AIDE, version 0.15.1
### AIDE database at /var/lib/aide/aide.db.new.gz initialized.
# 生成された DB をマスター DB へコピー
|
[root@localhost ~]# cp -p /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz |
# チェック実行 |
[root@localhost ~]# aide --check |
# DB との差分がない場合は以下のように Okay と表示される AIDE, version 0.15.1 ### All files match AIDE database. Looks okay! # 任意のファイルを変更して再度チェック実行 |
[root@localhost ~]# chmod 640 /root/anaconda-ks.cfg |
[root@localhost ~]# aide --check |
# 以下のように差分が検出される AIDE 0.15.1 found differences between database and filesystem!! Start timestamp: 2015-06-17 19:55:20 Summary: Total number of files: 39039 Added files: 0 Removed files: 0 Changed files: 1 --------------------------------------------------- Changed files: --------------------------------------------------- changed: /root/anaconda-ks.cfg --------------------------------------------------- Detailed information about changes: --------------------------------------------------- File: /root/anaconda-ks.cfg Perm : -rw------- , -rw-r----- Ctime : 2015-05-24 02:22:04 , 2015-06-19 11:55:15 ACL : old = A: ---- user::rw- group::--- other::--- ---- D: <NONE> new = A: ---- user::rw- group::r-- other::--- ---- D: <NONE> |
チェック実行と、変更が検出されたが内容に問題ない場合にデータベースの更新を行う場合は以下のようにします。
[root@localhost ~]# aide --update |
AIDE 0.15.1 found differences between database and filesystem!! Start timestamp: 2015-06-17 19:56:31 Summary: Total number of files: 39039 Added files: 0 Removed files: 0 Changed files: 1 --------------------------------------------------- Changed files: --------------------------------------------------- changed: /root/anaconda-ks.cfg ..... ..... # データベース更新 |
[root@localhost ~]# cp -p /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz |
定期的にチェックするよう Cron に登録します。 チェック結果のログファイル [/var/log/aide/aide.log] はチェックの都度上書きされる上に、差分がない場合はゼロバイトでの上書きになるため、 チェック結果を毎回保存しておきたい場合は、シェルスクリプトで対応するか、毎回メールで結果を送信する等の工夫が必要です。
# 例として、毎日午前一時にチェック実行し、結果を root 宛にメールで送信 |
[root@localhost ~]# vi /etc/cron.d/aide |
00 01 * * * /usr/sbin/aide --update | mail -s 'Daily Check by AIDE' root |