2018年10月26日

CentOS7 ファイル改ざん検知システム(AIDE)インストール

前回 に引き続き外部の悪意あるユーザから守るシリーズ第二弾。
今回はファイルの改ざんを検知するAIDEをインストールする。


インストール


いつも通りyumでインストール。
yum install aide
めっちゃ(ry。


初期化


AIDEは現状のファイルの状態を記録しDB化しておき、検査をするときに記録しておいたものと現在のファイルを比較して、更新されているかどうかを確認するシステム。
というわけでまず最初にDBの作成とか行う初期化を実行する必要がある。
  1. 初期化
    aide --init
    
    結構時間がかかるのでゆっくり待つ。

  2. コマンドが完了するとaide.db.new.gzというのが出来ているので、比較元としてaide.db.gzという名称に変更する。
    mv -f /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
    


設定


/etc/aide.confで検査対象や除外の設定が出来る。
大体いいように設定はされているはず。
vi /etc/aide.conf
ファイル内
!/usr/log #追記
!/tmp #追記
!/proc #追記
最初はこれくらい除外に追加しておいて、様子を見ながら調整すればいいかと。


実行


下記コマンドで実行可能。
aide --check
AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 年-月-日 時:分:秒

Summary:
Total number of files: 76523
Added files: 3
Removed files: 0
Changed files: 3
追加修正削除されたファイルの一覧を表示してくれるので、内容が妥当とかどうか確認する。


定期実行


定期的に検査を行えるよう、cronに登録を行っておく。
  1. スクリプト作成
    /etc/cron.dailiyフォルダ内にaideという名前でスクリプトを作成する。
    vi /etc/cron.daily/aide
    
    ファイル内
    #!/bin/bash
    MAIL_TO=root
    MAIL_SUBJECT="`hostname -s` `date +%Y%m%d_%H-%M-%S` AIDE"
    LOG_FILE=/var/log/aide/aide.log
    AIDE_DIR=/var/lib/aide
    /usr/sbin/aide  --update 2>&1 > $LOG_FILE
    cp $AIDE_DIR/aide.db.new.gz $AIDE_DIR/aide.db.gz
    x=$(grep "Looks okay" $LOG_FILE | wc -l)
    if [ $x -eq 1 ]
    then
      echo "$MAIL_SUBJECT OK" | mail -s "$MAIL_SUBJECT OK" $MAIL_TO
    else
      echo "$(egrep "added|changed|removed" $LOG_FILE)" | mail -s "$MAIL_SUBJECT NG" $MAIL_TO
    fi
    exit
    

  2. パーミッション変更
    chmod 744 /etc/cron.daily/aide
    


ログローテーション


お好みでログローテーションを修正する。
vi /etc/logrotate.d/aide
ファイル内
/var/log/aide/*.log {
    daily
    notifempty
    missingok
    rotate 30
    compress
    delaycompress
    create 640 root root
}
ローテーション間隔をデイリーに変更、過去のログを圧縮、保存期間は30日に変更。


終わり


次はアンチウィルステスト(clamAV)の予定。
posted by Ren at 22:00 | Comment(0) | TrackBack(0) | PC サーバ CentOS
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。
※ブログオーナーが承認したコメントのみ表示されます。
この記事へのトラックバックURL
http://blog.sakura.ne.jp/tb/184752230
※ブログオーナーが承認したトラックバックのみ表示されます。

この記事へのトラックバック