【やったこと】
・CentOS6 にaideをインストールして初期動作確認
・問題があればメールで通知
【作業手順】
初期化
aide --init
→これが結構時間がかかる。仮想マシンとかだと5分くらい
→### AIDE database at /var/lib/aide/aide.db.new.gz initialized.
生成されたデータベースファイルを比較対象のデータベースファイルとする
cp -f /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
検査
aide --check
→AIDE found differences between database and filesystem!!(以下略)
→常に更新されるようなファイルが出てしまっている。
# 除外設定
vi /etc/aide.conf
→いったん全部対象外にして、改ざん検知したいフォルダだけを対象にするのが良さそう
# アップデート(--check と --init が同時に実行される)
aide --update
# 生成されたデータベースファイルを比較対象のデータベースファイルとする(上書き)
cp -f /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Updateの自動化&AIDEで改ざんを検知した場合のアラートメール
こちらよりコピペ
echo '#!/bin/bash MAILTO=hogehoge@fugafuga.com LOGFILE=/var/log/aide/aide.log AIDEDIR=/var/lib/aide /usr/sbin/aide -u > $LOGFILE cp $AIDEDIR/aide.db.new.gz $AIDEDIR/aide.db.gz x=$(grep "Looks okay" $LOGFILE | wc -l) if [ $x -eq 1 ] then echo "All Systems Look OK" | /bin/mail -s "AIDE OK" $MAILTO else echo "$(egrep "added|changed|removed" $LOGFILE)" | /bin/mail -s "AIDE DETECTED CHANGES" $MAILTO fi exit ' > /usr/local/bin/aide.sh chmod +x /usr/local/bin/aide.sh
→crontabに以下のようにして設置
0 0 * * * /usr/local/bin/aide.sh > /dev/null
