■侵入改竄検知システム AIDE を使うメモ
 長くIDSとしてOsirisを使ってきたが時勢に合わなくなってしまったので、CentOS/ScientificLinuxに標準装備されているAIDEを使ってみたメモ。

■インストールと簡単な使い方
[code]# yum install aide

設定編集(コメント充実)
# vi /etc/aide.conf
R = p+l+i+n+u+g+s+m+acl+selinux+xattrs+md5

初期化
# aide -i

比較用DB作成
# cp /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

比較
# aide -C

通常用途
# aide -u[/code]

■CentOS5系でselinuxで問題が出るケースの設定変更例
[code]# vi /etc/aide.conf

R = p+l+i+n+u+g+s+m+acl+xattrs+md5
L = p+l+i+n+u+g+acl+xattrs
> = p+l+u+g+i+n+S+acl+xattrs

DIR = p+l+i+n+u+g+acl+xattrs

PERMS = p+l+i+u+g+acl

DATAONLY = p+l+n+u+g+s+acl+xattrs+md5+sha256+rmd160+tiger[/code]

■Prelink関連のエラーが出る場合の設定変更例
[code]# sed -i ‘/^PRELINKING=yes$/s/yes/no/’ /etc/sysconfig/prelink
# /usr/sbin/prelink -ua[/code]

■cron用script例
[code]# vi /root/script/aide.sh
#!/bin/bash

/usr/sbin/aide -u
/bin/cp -fr /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz[/code]

■MyNETS用改竄検知設定例(/var/www/sns/wwwをSNS rootとする)
[code]# vi /etc/aide.conf
# MyNETS SNS DIR
/var/www/sns/www NORMAL
!/var/www/sns/www/img
!/var/www/sns/www/var[/code]

■参考リンク
http://pooh.gr.jp/?p=9633
http://blog.cecily.jp/kotou/51/
http://aikotobaha.blogspot.jp/2011/11/rhel-aide.html

, , , ,
とりあえず付けておく無駄ではなかったなまぁまぁ読めたちょっと役に立ったかなかなり良かったかも (まだ評価されていません)
Loading...
Trackback

no comment untill now

Sorry, comments closed.