ファイル改ざん検知ツール AFICK

AFICK

http://afick.sourceforge.net/
AFICK (Another File Integrity ChecKer) はファイルの改竄検知ツール。
最新版は 2017/12/08 リリースの AFICK 3.6.0 になる。

HIDS

AFICK 以外の主な HIDS は以下の通り。

• AFICK 3.6.0 (2017/12/08) - SourceForge に rpm パッケージがある。
• AIDE 0.16 (2016/07/25) - CentOS の Base リポジトリにある。
• OSSEC 3.0.0 (2018/07/17) - inotify 対応。Atomic リポジトリにある。
• Samhain 4.3.1 (2018/09/25) - inotify 対応。
• Tripwire 2.4.3.7 (2018/03/31)- EPEL リポジトリにある。

機能 ¹

• すべての一般的なOS（Windows、UNIX...）で変更なしでポータブル可能
• 簡単インストール : コンパイルや他の多くのツールのインストールは不要
• 速い
• 新規/削除/更新 ファイルの表示
• 壊れたリンクの表示
• 任意のユーザーが使用できる
• any number of base and config
• config file with exceptions and jokers
• AIDE に近い設定ファイル構文

インストール

yum install http://jaist.dl.sourceforge.net/project/afick/afick/3.6.0/afick-3.6.0-1.noarch.rpm

SourceForge に rpm パッケージがある。
https://sourceforge.net/projects/afick/files/afick/

初期化

afick --init

afick -i でも同様。

出力例

# Afick (3.5.2) init at 2016/08/10 23:28:12 with options (/etc/afick.conf):
# archive:=/var/lib/afick/archive
# database:=/var/lib/afick/afick
# exclude_suffix:=log LOG html htm HTM txt TXT xml hlp pod chm tmp old bak fon ttf TTF bmp BMP jpg JPG gif png ico wav WAV mp3 avi
# history:=/var/lib/afick/history
# max_checksum_size:=10000000
# running_files:=1
# timing:=1
# dbm:=Storable

# Hash database created successfully. 16374 files entered.
# #################################################################
# MD5 hash of /var/lib/afick/afick => 7QALXqafNFMODST7C6mJTw
# user time : 8.89; system time : 2.35; real time : 21

更新

afick --update

afick -u でも同様。

出力例

# Afick (3.5.2) update at 2016/08/10 23:31:20 with options (/etc/afick.conf):
# archive:=/var/lib/afick/archive
# database:=/var/lib/afick/afick
# exclude_suffix:=log LOG html htm HTM txt TXT xml hlp pod chm tmp old bak fon ttf TTF bmp BMP jpg JPG gif png ico wav WAV mp3 avi
# history:=/var/lib/afick/history
# max_checksum_size:=10000000
# running_files:=1
# timing:=1
# dbm:=Storable
# last run on 2016/08/10 23:28:12 with afick version 3.5.2
# summary changes
changed file : /boot/initramfs-3.10.0-327.el7.x86_64kdump.img

# detailed changes
changed file : /boot/initramfs-3.10.0-327.el7.x86_64kdump.img
	blocs     		 : 32640	32600

# Hash database updated successfully : 16374 files scanned, 1 changed (new : 0; delete : 0; changed : 1; dangling : 6; exclude_suffix : 72; exclude_prefix : 0; exclude_re : 0; degraded : 5)
# #################################################################
# MD5 hash of /var/lib/afick/afick => IVrNbnzvBMp0QuArphdctg
# user time : 7.79; system time : 1.76; real time : 16

実行

afick --compare

出力例

# Afick (3.5.2) compare at 2016/08/10 23:39:29 with options (/etc/afick.conf):
# archive:=/var/lib/afick/archive
# database:=/var/lib/afick/afick
# exclude_suffix:=log LOG html htm HTM txt TXT xml hlp pod chm tmp old bak fon ttf TTF bmp BMP jpg JPG gif png ico wav WAV mp3 avi
# history:=/var/lib/afick/history
# max_checksum_size:=10000000
# running_files:=1
# timing:=1
# dbm:=Storable
# last run on 2016/08/10 23:31:20 with afick version 3.5.2
# summary changes
deleted file : /root/afick-3.5.2-1.noarch.rpm

# detailed changes
deleted file : /root/afick-3.5.2-1.noarch.rpm
	parent_date		 : Wed Aug 10 23:29:23 2016

# Hash database : 16373 files scanned, 1 changed (new : 0; delete : 1; changed : 0; dangling : 6; exclude_suffix : 72; exclude_prefix : 0; exclude_re : 0; degraded : 5)
# #################################################################
# MD5 hash of /var/lib/afick/afick => IVrNbnzvBMp0QuArphdctg
# user time : 7.33; system time : 1.54; real time : 14

afick -k でも同様。

設定ファイル

/etc/afick.conf

database:=/var/lib/afick/afick
history := /var/lib/afick/history
archive := /var/lib/afick/archive
report_url := stdout
report_syslog := no
verbose := no
debug := 0
warn_dead_symlinks := no
follow_symlinks := no
allow_overload := yes
report_context := no
report_full_newdel := no
report_summary := yes
warn_missing_file := no
running_files := yes
timing := yes
ignore_case := no
max_checksum_size := 10000000
allow_relativepath := 0
exclude_suffix := log LOG html htm HTM txt TXT xml
exclude_suffix := hlp pod chm
exclude_suffix := tmp old bak
exclude_suffix := fon ttf TTF
exclude_suffix := bmp BMP jpg JPG gif png ico
exclude_suffix := wav WAV mp3 avi
@@define MAILTO root@localhost
@@define LINES 1000
@@define REPORT 1
@@define VERBOSE 0
@@define NICE 18
@@define BATCH 1
@@define ARCHIVE_RETENTION 0
@@define NAGIOS 0
@@define NAGIOS_SERVER my.nagios.server.org
@@define NAGIOS_CHECK_NAME Another File Integrity Checker
@@define NAGIOS_CRITICAL_CHANGES 2
DIR = p+i+n+u+g
ETC = p+d+u+g+s+md5
Logs = p+n+u+g
MyRule = p+d+n+u+g+s+b+md5
= /  DIR
/bin	MyRule
/boot	MyRule
/dev p+n
! /dev/bsg
! /dev/pts
! /dev/shm
/etc	ETC
/etc/mtab ETC - md5 - s
/etc/adjtime ETC - md5
/etc/aliases.db ETC - md5
/etc/motd ETC
/lib	MyRule
/lib64	MyRule
/lib/modules MyRule
/root MyRule
! /root/.viminfo
/sbin	MyRule
/usr/bin	MyRule
/usr/sbin	MyRule
/usr/lib	MyRule
/usr/lib64	MyRule
/usr/local/bin	MyRule
/usr/local/sbin	MyRule
/usr/local/lib	MyRule
/var/log Logs
= /var/log/afick Logs
/var/www MyRule

セキュリティ関連記事

• PHPセキュリティ強化モジュール Suhosin
• DoS攻撃/ブルートフォース攻撃対策アプリの近況
• Linuxアンチウイルスソフト ClamAV
• Linux Malware Detect
• ルートキット検出ツール Rootkit Hunter (rkhunter)
• ルートキット検出ツール chkrootkit
• ファイル改ざん検知ツール AFICK
• ファイル改ざん検知ツール AIDE
• ファイル改ざん検知ツール OSSEC
• ファイル改ざん検知ツール Samhain
• ファイル改ざん検知ツール Tripwire
• 脆弱性スキャナー OpenVAS
• 脆弱性スキャナー Nessus
• 脆弱性スキャナー Nikto
• Linuxセキュリティ監査ツール Lynis

1. http://afick.sourceforge.net/functions.html ↩