zuntan02のはてなブログ

備忘録的なものです

改ざん検知ツールAIDEメモ

【やったこと】

・CentOS6 にaideをインストールして初期動作確認
・問題があればメールで通知

【作業手順】

インストール
yum -y install aide

→aide.x86_64 0:0.14-8.el6

初期化
aide --init

→これが結構時間がかかる。仮想マシンとかだと5分くらい
→### AIDE database at /var/lib/aide/aide.db.new.gz initialized.

生成されたデータベースファイルを比較対象のデータベースファイルとする
cp -f /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
検査
aide --check

→AIDE found differences between database and filesystem!!(以下略)
→常に更新されるようなファイルが出てしまっている。

# 除外設定

vi /etc/aide.conf

→いったん全部対象外にして、改ざん検知したいフォルダだけを対象にするのが良さそう

# アップデート(--check と --init が同時に実行される)

aide --update

# 生成されたデータベースファイルを比較対象のデータベースファイルとする(上書き)

cp -f /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Updateの自動化&AIDEで改ざんを検知した場合のアラートメール

こちらよりコピペ

echo '#!/bin/bash

MAILTO=hogehoge@fugafuga.com
LOGFILE=/var/log/aide/aide.log
AIDEDIR=/var/lib/aide
/usr/sbin/aide  -u > $LOGFILE
cp $AIDEDIR/aide.db.new.gz $AIDEDIR/aide.db.gz
x=$(grep "Looks okay" $LOGFILE | wc -l)
if [ $x -eq 1 ]
then
  echo "All Systems Look OK" | /bin/mail -s "AIDE OK" $MAILTO
else
  echo "$(egrep "added|changed|removed" $LOGFILE)" | /bin/mail -s "AIDE DETECTED CHANGES" $MAILTO
fi
exit
' > /usr/local/bin/aide.sh

chmod +x /usr/local/bin/aide.sh

→crontabに以下のようにして設置

0 0 * * * /usr/local/bin/aide.sh > /dev/null
広告を非表示にする