■侵入改竄検知システム AIDE を使うメモ
長くIDSとしてOsirisを使ってきたが時勢に合わなくなってしまったので、CentOS/ScientificLinuxに標準装備されているAIDEを使ってみたメモ。
■インストールと簡単な使い方
# yum install aide
設定編集(コメント充実)
# vi /etc/aide.conf
R = p+l+i+n+u+g+s+m+acl+selinux+xattrs+md5
初期化
# aide -i
比較用DB作成
# cp /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
比較
# aide -C
通常用途
# aide -u
■CentOS5系でselinuxで問題が出るケースの設定変更例
# vi /etc/aide.conf
R = p+l+i+n+u+g+s+m+acl+xattrs+md5
L = p+l+i+n+u+g+acl+xattrs
> = p+l+u+g+i+n+S+acl+xattrs
DIR = p+l+i+n+u+g+acl+xattrs
PERMS = p+l+i+u+g+acl
DATAONLY = p+l+n+u+g+s+acl+xattrs+md5+sha256+rmd160+tiger
■Prelink関連のエラーが出る場合の設定変更例
# sed -i '/^PRELINKING=yes$/s/yes/no/' /etc/sysconfig/prelink
# /usr/sbin/prelink -ua
■cron用script例
# vi /root/script/aide.sh
#!/bin/bash
/usr/sbin/aide -u
/bin/cp -fr /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
■MyNETS用改竄検知設定例(/var/www/sns/wwwをSNS rootとする)
# vi /etc/aide.conf
# MyNETS SNS DIR
/var/www/sns/www NORMAL
!/var/www/sns/www/img
!/var/www/sns/www/var
■参考リンク
http://pooh.gr.jp/?p=9633
http://blog.cecily.jp/kotou/51/
http://aikotobaha.blogspot.jp/2011/11/rhel-aide.html
aide, centos, ids, scientific, sns
Loading...
■CentOS6/ScientificLinux6にmroongaを導入する
CentOS6/ScientificLinux6にはmysql5.1.xが導入されていて、日本語全文検索にtritonnが利用できないので、後継プロジェクトになっているmroongaを導入し、日本語全文検索を可能にする。実際の手順はほぼmroongaの公式HPの通り。
mroonga
http://mroonga.github.io/ja/
■インストール(mysqlは導入済み)
# rpm -ivh http://packages.groonga.org/centos/groonga-release-1.1.0-1.noarch.rpm
※ScientificLinux6は以下のbaseurl修正を行う
# vi /etc/yum.repos.d/groonga.repo
baseurl=http://packages.groonga.org/centos/6/$basearch/
# yum makecache
# yum install -y mysql-mroonga groonga-tokenizer-mecab
# mysql -u root -p
mysql> show engines;
mysql> INSTALL PLUGIN mroonga SONAME 'ha_mroonga.so';
■動作確認方法
# mysql -u root -p
mysql> show engines;
mysql> use test;
mysql> create table diaries ( id INT primary key auto_increment, content varchar(255), fulltext index (content) ) engine = mroonga default charset utf8;
mysql> INSERT INTO diaries (content) VALUES ("明日の天気は晴れでしょう。");
mysql> INSERT INTO diaries (content) VALUES ("明日の天気は雨でしょう。");
mysql> SELECT * FROM diaries WHERE MATCH(content) AGAINST("晴れ");
検索できればOK。
検索スコアでソートは以下で確認。
mysql> INSERT INTO diaries (content) VALUES ("今日は晴れました。明日も晴れるでしょう。");
mysql> INSERT INTO diaries (content) VALUES ("今日は晴れましたが、明日は雨でしょう。");
mysql> SELECT *, MATCH (content) AGAINST ("晴れ") FROM diaries WHERE MATCH (content) AGAINST ("晴れ") ORDER BY MATCH (content) AGAINST ("晴れ") DESC;
■tritonnデータからの移行
tritonnでダンプしたデータのうち以下の部分を修正する(ストレージモードで利用)
FULLTEXT KEY `fullindex` (`body`) /*!50100 WITH PARSER `mecab` */
) ENGINE=MyISAM AUTO_INCREMENT=100 DEFAULT CHARSET=utf8;
↓
FULLTEXT INDEX (`body`)
) ENGINE=mroonga AUTO_INCREMENT=100 DEFAULT CHARSET=utf8;
これで新しいDBへインポートすればOK。
centos, mroonga, mysql, scientific, tritonn
Loading...
