CentOS7

AIDE : ホスト型IDS

ホスト型 IDS (Intrusion Detection System) の AIDE (Advanced Intrusion Detection Environment) のインストールと設定です。

AIDE をインストールします。

[root@localhost ~]# yum -y install aide

AIDE を設定してデータベースを初期化します。設定はデフォルトのままでも利用できますが、監視対象を調整する場合は設定ファイルを変更します。 設定ルールについては、設定ファイルの 26-84行目あたりで説明してありますので参考にしてください。

[root@localhost ~]# vi /etc/aide.conf
# 例として、/var/log の監視を変更
/var/log p+u+g+i+n+acl+selinux+xattrs

# データベース初期化
[root@localhost ~]# aide --init

|AIDE, version 0.15.1

### AIDE database at /var/lib/aide/aide.db.new.gz initialized.

# 生成された DB をマスター DB へコピー
|

[root@localhost ~]# cp -p /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

チェックを実行します。

# チェック実行
[root@localhost ~]# aide --check
# DB との差分がない場合は以下のように Okay と表示される

AIDE, version 0.15.1

### All files match AIDE database. Looks okay!

# 任意のファイルを変更して再度チェック実行
[root@localhost ~]# chmod 640 /root/anaconda-ks.cfg
[root@localhost ~]# aide --check
# 以下のように差分が検出される

AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2015-06-17 19:55:20

Summary:
Total number of files: 39039
Added files: 0
Removed files: 0
Changed files: 1


---------------------------------------------------
Changed files:
---------------------------------------------------

changed: /root/anaconda-ks.cfg

---------------------------------------------------
Detailed information about changes:
---------------------------------------------------


File: /root/anaconda-ks.cfg
Perm : -rw------- , -rw-r-----
Ctime : 2015-05-24 02:22:04 , 2015-06-19 11:55:15
ACL : old = A:
----
user::rw-
group::---
other::---
----
D: <NONE>
new = A:
----
user::rw-
group::r--
other::---
----
D: <NONE>

チェック実行と、変更が検出されたが内容に問題ない場合にデータベースの更新を行う場合は以下のようにします。

[root@localhost ~]# aide --update

AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2015-06-17 19:56:31

Summary:
Total number of files: 39039
Added files: 0
Removed files: 0
Changed files: 1


---------------------------------------------------
Changed files:
---------------------------------------------------

changed: /root/anaconda-ks.cfg
.....
.....

# データベース更新
[root@localhost ~]# cp -p /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

定期的にチェックするよう Cron に登録します。 チェック結果のログファイル [/var/log/aide/aide.log] はチェックの都度上書きされる上に、差分がない場合はゼロバイトでの上書きになるため、 チェック結果を毎回保存しておきたい場合は、シェルスクリプトで対応するか、毎回メールで結果を送信する等の工夫が必要です。

# 例として、毎日午前一時にチェック実行し、結果を root 宛にメールで送信
[root@localhost ~]# vi /etc/cron.d/aide
00 01 * * * /usr/sbin/aide --updatemail -s 'Daily Check by AIDE' root

トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS