4月
13
■侵入改竄検知システム AIDE を使うメモ
長くIDSとしてOsirisを使ってきたが時勢に合わなくなってしまったので、CentOS/ScientificLinuxに標準装備されているAIDEを使ってみたメモ。
■インストールと簡単な使い方
- # yum install aide
- 設定編集(コメント充実)
- # vi /etc/aide.conf
- R = p+l+i+n+u+g+s+m+acl+selinux+xattrs+md5
- 初期化
- # aide -i
- 比較用DB作成
- # cp /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
- 比較
- # aide -C
- 通常用途
- # aide -u
■CentOS5系でselinuxで問題が出るケースの設定変更例
- # vi /etc/aide.conf
- R = p+l+i+n+u+g+s+m+acl+xattrs+md5
- L = p+l+i+n+u+g+acl+xattrs
- > = p+l+u+g+i+n+S+acl+xattrs
- DIR = p+l+i+n+u+g+acl+xattrs
- PERMS = p+l+i+u+g+acl
- DATAONLY = p+l+n+u+g+s+acl+xattrs+md5+sha256+rmd160+tiger
■Prelink関連のエラーが出る場合の設定変更例
- # sed -i '/^PRELINKING=yes$/s/yes/no/' /etc/sysconfig/prelink
- # /usr/sbin/prelink -ua
■cron用script例
- # vi /root/script/aide.sh
- #!/bin/bash
- /usr/sbin/aide -u
- /bin/cp -fr /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
■MyNETS用改竄検知設定例(/var/www/sns/wwwをSNS rootとする)
- # vi /etc/aide.conf
- # MyNETS SNS DIR
- /var/www/sns/www NORMAL
- !/var/www/sns/www/img
- !/var/www/sns/www/var
■参考リンク
http://pooh.gr.jp/?p=9633
http://blog.cecily.jp/kotou/51/
http://aikotobaha.blogspot.jp/2011/11/rhel-aide.html