■侵入改竄検知システム AIDE を使うメモ
 長くIDSとしてOsirisを使ってきたが時勢に合わなくなってしまったので、CentOS/ScientificLinuxに標準装備されているAIDEを使ってみたメモ。

■インストールと簡単な使い方

  1. # yum install aide
  2.  
  3. 設定編集(コメント充実)
  4. # vi /etc/aide.conf
  5. R = p+l+i+n+u+g+s+m+acl+selinux+xattrs+md5
  6.  
  7. 初期化
  8. # aide -i
  9.  
  10. 比較用DB作成
  11. # cp /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
  12.  
  13. 比較
  14. # aide -C
  15.  
  16. 通常用途
  17. # aide -u

■CentOS5系でselinuxで問題が出るケースの設定変更例

  1. # vi /etc/aide.conf
  2.  
  3. R = p+l+i+n+u+g+s+m+acl+xattrs+md5
  4. L = p+l+i+n+u+g+acl+xattrs
  5. > = p+l+u+g+i+n+S+acl+xattrs
  6.  
  7. DIR = p+l+i+n+u+g+acl+xattrs
  8.  
  9. PERMS = p+l+i+u+g+acl
  10.  
  11. DATAONLY =  p+l+n+u+g+s+acl+xattrs+md5+sha256+rmd160+tiger

■Prelink関連のエラーが出る場合の設定変更例

  1. # sed -i '/^PRELINKING=yes$/s/yes/no/' /etc/sysconfig/prelink
  2. # /usr/sbin/prelink -ua

■cron用script例

  1. # vi /root/script/aide.sh
  2. #!/bin/bash
  3.  
  4. /usr/sbin/aide -u
  5. /bin/cp -fr /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

■MyNETS用改竄検知設定例(/var/www/sns/wwwをSNS rootとする)

  1. # vi /etc/aide.conf
  2. # MyNETS SNS DIR
  3. /var/www/sns/www NORMAL
  4. !/var/www/sns/www/img
  5. !/var/www/sns/www/var

■参考リンク
http://pooh.gr.jp/?p=9633
http://blog.cecily.jp/kotou/51/
http://aikotobaha.blogspot.jp/2011/11/rhel-aide.html

, , , ,
とりあえず付けておく無駄ではなかったなまぁまぁ読めたちょっと役に立ったかなかなり良かったかも (まだ評価されていません)
Loading...

■CentOS6/ScientificLinux6にmroongaを導入する
 CentOS6/ScientificLinux6にはmysql5.1.xが導入されていて、日本語全文検索にtritonnが利用できないので、後継プロジェクトになっているmroongaを導入し、日本語全文検索を可能にする。実際の手順はほぼmroongaの公式HPの通り。

 mroonga
 http://mroonga.github.io/ja/

■インストール(mysqlは導入済み)

  1. # rpm -ivh http://packages.groonga.org/centos/groonga-release-1.1.0-1.noarch.rpm
  2.  
  3. ※ScientificLinux6は以下のbaseurl修正を行う
  4. # vi /etc/yum.repos.d/groonga.repo
  5. baseurl=http://packages.groonga.org/centos/6/$basearch/
  6.  
  7. # yum makecache
  8. # yum install -y mysql-mroonga groonga-tokenizer-mecab
  9.  
  10. # mysql -u root -p
  11. mysql> show engines;
  12. mysql> INSTALL PLUGIN mroonga SONAME 'ha_mroonga.so';

■動作確認方法

  1. # mysql -u root -p
  2. mysql> show engines;
  3. mysql> use test;
  4. mysql> create table diaries ( id INT primary key auto_increment, content varchar(255), fulltext index (content) ) engine = mroonga default charset utf8;
  5. mysql> INSERT INTO diaries (content) VALUES ("明日の天気は晴れでしょう。");
  6. mysql> INSERT INTO diaries (content) VALUES ("明日の天気は雨でしょう。");
  7. mysql> SELECT * FROM diaries WHERE MATCH(content) AGAINST("晴れ");

検索できればOK。
検索スコアでソートは以下で確認。

  1. mysql> INSERT INTO diaries (content) VALUES ("今日は晴れました。明日も晴れるでしょう。");
  2. mysql> INSERT INTO diaries (content) VALUES ("今日は晴れましたが、明日は雨でしょう。");
  3. mysql> SELECT *, MATCH (content) AGAINST ("晴れ") FROM diaries WHERE MATCH (content) AGAINST ("晴れ") ORDER BY MATCH (content) AGAINST ("晴れ") DESC;

■tritonnデータからの移行
 tritonnでダンプしたデータのうち以下の部分を修正する(ストレージモードで利用)

  1.  FULLTEXT KEY `fullindex` (`body`) /*!50100 WITH PARSER `mecab` */
  2. ) ENGINE=MyISAM AUTO_INCREMENT=100 DEFAULT CHARSET=utf8;
  3.  ↓
  4.  FULLTEXT INDEX (`body`)
  5. ) ENGINE=mroonga AUTO_INCREMENT=100 DEFAULT CHARSET=utf8;

これで新しいDBへインポートすればOK。

, , , ,
とりあえず付けておく無駄ではなかったなまぁまぁ読めたちょっと役に立ったかなかなり良かったかも (まだ評価されていません)
Loading...