AIDE : ホスト型 IDS2024/06/19 |
|
ホスト型 IDS (Intrusion Detection System) の AIDE (Advanced Intrusion Detection Environment) のインストールと設定です。 |
|
| [1] | AIDE をインストールします。 |
|
root@dlp:~# apt -y install aide
|
| [2] | AIDE を設定してデータベースを初期化します。設定はデフォルトのままでも利用できますが、監視対象を調整する場合は設定ファイルを変更します。 設定ルールについての詳細は、[man aide.conf] で確認可能です。 |
|
root@dlp:~#
vi /etc/default/aide # 8行目 : Cron で日時チェックしない場合はコメント解除して [no] に変更 #CRON_DAILY_RUN=yes
root@dlp:~#
vi /etc/aide/aide.conf # 最終行に追記 : 必要に応じてチェックを除外するディレクトリを設定
!/var/log
!/var/lib/aide !/var/lib/apt !/var/lib/dpkg !/var/cache !/run # データベース初期化 root@dlp:~# aide --init --config /etc/aide/aide.conf
Start timestamp: 2024-06-19 00:26:20 +0000 (AIDE 0.18.6)
AIDE successfully initialized database.
New AIDE database written to /var/lib/aide/aide.db.new
Ignored e2fs attributes: EINV
Number of entries: 129989
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db.new
MD5 : 7c6rXJ8Ya1zBrT69oz2Ckw==
SHA1 : c8ASv/14g8ts3oLJx+ERcO0A4L4=
SHA256 : 91xdDJbYp03WdErPL8WGWVfQn4eE/DEj
O9mXYcYKAlA=
SHA512 : Ubp7cw3dJ09lUqyyVm7lh46mfhs4JlIm
22J9BtqHmtTaW2egkHfuj2MVYtNyrKkY
3oredDWzsjA7HLru3GsiQg==
RMD160 : suAcpe1q0dWG0rvVEefGPj78QFw=
TIGER : i/ltOms38A8r2AlkNmed1YbO2iF71pSe
CRC32 : lIIuqQ==
CRC32B : i70DbA==
HAVAL : IBt7FX46tH/KBiJibPEYukWb3BANb+o8
4fAPe2GK6DM=
WHIRLPOOL : R2Do90WTJFNCpvVVDe73KkAX6HbzFHHC
MnbEgswqefb4wd9t41xHRxoNojmU38Th
h7p9O6VnwcIKWt4FLrsbBA==
GOST : Lq2zhQkjy5LG4tEjOf/Dh2Br06l4OOFb
trboBfl3XYs=
End timestamp: 2024-06-19 00:31:14 +0000 (run time: 4m 54s)
# 生成された DB をマスター DB へコピー root@dlp:~# cp -p /var/lib/aide/aide.db.new /var/lib/aide/aide.db
|
| [3] | チェックを実行します。 |
|
# チェック実行 root@dlp:~# aide --check --config /etc/aide/aide.conf # DB との差分がない場合は以下のように [*** Looks okay] と表示される
Start timestamp: 2024-06-19 00:32:25 +0000 (AIDE 0.18.6)
AIDE found NO differences between database and filesystem. Looks okay!!
Ignored e2fs attributes: EINV
Number of entries: 129989
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db
MD5 : 7c6rXJ8Ya1zBrT69oz2Ckw==
SHA1 : c8ASv/14g8ts3oLJx+ERcO0A4L4=
SHA256 : 91xdDJbYp03WdErPL8WGWVfQn4eE/DEj
O9mXYcYKAlA=
SHA512 : Ubp7cw3dJ09lUqyyVm7lh46mfhs4JlIm
22J9BtqHmtTaW2egkHfuj2MVYtNyrKkY
3oredDWzsjA7HLru3GsiQg==
RMD160 : suAcpe1q0dWG0rvVEefGPj78QFw=
TIGER : i/ltOms38A8r2AlkNmed1YbO2iF71pSe
CRC32 : lIIuqQ==
CRC32B : i70DbA==
HAVAL : IBt7FX46tH/KBiJibPEYukWb3BANb+o8
4fAPe2GK6DM=
WHIRLPOOL : R2Do90WTJFNCpvVVDe73KkAX6HbzFHHC
MnbEgswqefb4wd9t41xHRxoNojmU38Th
h7p9O6VnwcIKWt4FLrsbBA==
GOST : Lq2zhQkjy5LG4tEjOf/Dh2Br06l4OOFb
trboBfl3XYs=
End timestamp: 2024-06-19 00:39:54 +0000 (run time: 7m 29s)
# 任意のファイルを変更して再度チェック実行 root@dlp:~# touch /root/test.txt root@dlp:~# aide --check --config /etc/aide/aide.conf # 以下のように差分が検出される
Start timestamp: 2024-06-19 00:40:40 +0000 (AIDE 0.18.6)
AIDE found differences between database and filesystem!!
Ignored e2fs attributes: EINV
Summary:
Total number of entries: 129990
Added entries: 1
Removed entries: 0
Changed entries: 1
---------------------------------------------------
Added entries:
---------------------------------------------------
f+++++++++++++++++: /root/test.txt
---------------------------------------------------
Changed entries:
---------------------------------------------------
d =.... mc.. .. . : /root
---------------------------------------------------
Detailed information about changes:
---------------------------------------------------
Directory: /root
Mtime : 2024-06-19 00:26:12 +0000 | 2024-06-19 00:40:35 +0000
Ctime : 2024-06-19 00:26:12 +0000 | 2024-06-19 00:40:35 +0000
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db
MD5 : 7c6rXJ8Ya1zBrT69oz2Ckw==
SHA1 : c8ASv/14g8ts3oLJx+ERcO0A4L4=
SHA256 : 91xdDJbYp03WdErPL8WGWVfQn4eE/DEj
O9mXYcYKAlA=
SHA512 : Ubp7cw3dJ09lUqyyVm7lh46mfhs4JlIm
22J9BtqHmtTaW2egkHfuj2MVYtNyrKkY
3oredDWzsjA7HLru3GsiQg==
RMD160 : suAcpe1q0dWG0rvVEefGPj78QFw=
TIGER : i/ltOms38A8r2AlkNmed1YbO2iF71pSe
CRC32 : lIIuqQ==
CRC32B : i70DbA==
HAVAL : IBt7FX46tH/KBiJibPEYukWb3BANb+o8
4fAPe2GK6DM=
WHIRLPOOL : R2Do90WTJFNCpvVVDe73KkAX6HbzFHHC
MnbEgswqefb4wd9t41xHRxoNojmU38Th
h7p9O6VnwcIKWt4FLrsbBA==
GOST : Lq2zhQkjy5LG4tEjOf/Dh2Br06l4OOFb
trboBfl3XYs=
End timestamp: 2024-06-19 00:48:14 +0000 (run time: 7m 34s)
|
| [4] | チェック実行と、変更が検出されたが内容に問題ない場合にデータベースの更新を行う場合は以下のようにします。 |
|
root@dlp:~#
aide --update --config /etc/aide/aide.conf Start timestamp: 2024-06-19 00:54:24 +0000 (AIDE 0.18.6) AIDE found differences between database and filesystem!! New AIDE database written to /var/lib/aide/aide.db.new Ignored e2fs attributes: EINV Summary: Total number of entries: 129990 Added entries: 1 Removed entries: 0 Changed entries: 1 --------------------------------------------------- Added entries: --------------------------------------------------- f+++++++++++++++++: /root/test.txt --------------------------------------------------- Changed entries: --------------------------------------------------- d =.... mc.. .. . : /root --------------------------------------------------- Detailed information about changes: --------------------------------------------------- Directory: /root Mtime : 2024-06-19 00:26:12 +0000 | 2024-06-19 00:40:35 +0000 Ctime : 2024-06-19 00:26:12 +0000 | 2024-06-19 00:40:35 +0000 ..... ..... # データベース更新 root@dlp:~# cp -p /var/lib/aide/aide.db.new /var/lib/aide/aide.db
|
| Sponsored Link |