Help us understand the problem. What is going on with this article?

いまさら CentOS7.3 に AIDE(ファイル改ざん検知ツール)を入れてみる

More than 1 year has passed since last update.

AIDE(Advanced Intrusion Detection Environment) って

仕事が忙しくないので趣味を兼ねた、いまさらシリーズw。
オープンソースの AIDE(Advanced Intrusion Detection Environment)は、いわゆるホスト型(サーバにインストールする系)の監視ツールで、主に「ファイルとディレクトリが改ざんされたか」どうかを判定(整合性チェック)する監視ツールです。

監視するといっても常駐型でなくバッチ型なので、リアルタイムにファイルが改ざんされたことを検知することができないのでcronで定期的に実施し結果をメールで受け取るなどして(今時だとSlackに通知かな)サーバの状態を把握するということになりますね。

インストール

めっちゃ簡単ですw。

$ sudo yum install aide

検知対象ディレクトリと非検知ディレクトリの指定

/etc/aide.conf に検知ルールが記述されているので、とりあえず下記のディレクトリは検知して欲しくないので追加します。※ ! でディレクトを指定すると非対象にになります。

/etc/aide.conf
!/tmp
!/proc

AIDEデータベースファイルの作成

まず初期化、これ大切あるね。

bash
$ sudo aide --init
AIDE, version 0.15.1
### AIDE database at /var/lib/aide/aide.db.new.gz initialized.

AIDEデータベースファイルのコピー

AIDEの仕組み上、前回のファイル整合性チェック結果今回のファイル整合性チェック結果 を比較するため上記で初期化実施した結果ファイルをコピーしておきます。

こんな定義になっているので。

/etc/aide.conf
@@define DBDIR /var/lib/aide
database=file:@@{DBDIR}/aide.db.gz
database_out=file:@@{DBDIR}/aide.db.new.gz

コピーしないと怒られるですよww

bash
$ sudo aide -C
Couldn't open file /var/lib/aide/aide.db.gz for reading

そんな訳で初期化で作成されたAIDEデータベースファイルをコピーします。

bash
$ sudo mv -f /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

とりあえずチェックしてみる

コマンドを実行してみる。結果は、/var/log/aide/aide.log ファイルに出力されるので実行が終わったらみてみるとよい。

bash
$ sudo aide -C

AIDEを実行しかつAIDEデータベースファイルも更新するとかシェル

まあ普通作りますよねシェル。そしてcronで定期的に実行しますよね。
私の使用しているメールサーバのルールでは、英字だけのsubjectだと弾かれてしまうので漢字にしています。

aide.sh
#!/bin/bash

OK_MAIL="AIDEファイル改ざんチェックOK"
NG_MAIL="AIDEファイル改ざんチェックNG問題あり"

MAILTO=vagrant
LOGFILE=/var/log/aide/aide.log
AIDEDIR=/var/lib/aide
/usr/sbin/aide -u > $LOGFILE
/usr/bin/cp $AIDEDIR/aide.db.new.gz $AIDEDIR/aide.db.gz
x=$(/usr/bin/grep "Looks okay" $LOGFILE | /usr/bin/wc -l)

if [ $x -eq 1 ]
then
  echo "OK" | /usr/bin/iconv -f utf-8 -t iso-2022-jp | /bin/mail -s `echo $OK_MAIL | /usr/bin/nkf -j | /usr/bin/nkf -M` $MAILTO
else
  /usr/bin/cat $LOGFILE | /usr/bin/nkf -j | /bin/mail -s `echo $NG_MAIL | /usr/bin/nkf -j | /usr/bin/nkf -M` $MAILTO
fi

使った感想

こんな施策しても凄腕のハッカーにしたら「へっ」ってなもんですが、まあやらないよりはマシって感じですかね。あと改ざんではないけど不用意にファイルを変更しまった場合、このAIDEで監視できるのでそういう点ではいいかもしれない。

参考にさせて頂いたサイト様

CentOS にファイル改ざん検知システムを導入する【AIDE】
オープンソースの IDS である AIDE を CentOS にインストールする
ファイル改ざん検知システム(AIDE)を構築してみる

murachi1208
社内では,「Javaが嫌いでしょう、このはげ!(スキンヘッドですw)」と勝手に勘違いされてるしがないオッサンエンジニア。最近すきなことはDevOpsやらCI関係やら構築回りですが、個人的趣味なので仕事とは一切関係ありませんw ※内容は個人的趣味範囲であり所属組織とは関係ありません。
http://www.sea-bird.org
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
No comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
ユーザーは見つかりませんでした