NEW ARTICLE
Rocky Linuxにおけるiptablesの詳細な設定方法
  1. HOME
  2. centos8
  3. CentOs8 「aide」をインストールするまでの手順

CentOs8 「aide」をインストールするまでの手順

CentOs8 「aide」をインストールするまでの手順

Centos8に、ファイル改ざん検知ツールである「aide」をインストールするまでの手順を記述してます。

目次

環境

  • OS CentOS Stream release 8

aideインストール

dnfでインストールできます。

sudo dnf install aide

以下がインストールされます。

rpm -ql aide

<出力結果>
/etc/aide.conf
/etc/logrotate.d/aide
/usr/lib/.build-id
/usr/lib/.build-id/a7
/usr/lib/.build-id/a7/7944ef056c08d3d7bc73fffc8ad6913e0a2a73
/usr/sbin/aide
/usr/share/doc/aide
/usr/share/doc/aide/AUTHORS
/usr/share/doc/aide/ChangeLog
/usr/share/doc/aide/NEWS
/usr/share/doc/aide/README
/usr/share/doc/aide/README.quickstart
/usr/share/doc/aide/contrib
/usr/share/doc/aide/contrib/aide-attributes.sh
/usr/share/doc/aide/contrib/bzip2.sh
/usr/share/doc/aide/contrib/gpg2_check.sh
/usr/share/doc/aide/contrib/gpg2_update.sh
/usr/share/doc/aide/contrib/gpg_check.sh
/usr/share/doc/aide/contrib/gpg_update.sh
/usr/share/doc/aide/contrib/sshaide.sh
/usr/share/doc/aide/manual.html
/usr/share/licenses/aide
/usr/share/licenses/aide/COPYING
/usr/share/man/man1/aide.1.gz
/usr/share/man/man5/aide.conf.5.gz
/var/lib/aide
/var/log/aide

aide設定

まずは初期化を行います

sudo aide --init

<出力結果>
AIDE, version 0.15.1

### AIDE database at /var/lib/aide/aide.db.new.gz initialized.

作成したDBを、参照先のPATHに移動させます。

sudo mv -f /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

or

sudo mv -f /var/lib/aide/aide.db{.new,}.gz

構成は以下の通りになってます。

DB:/var/lib/aide/aide.db.gz
新しく作成されたDB:/var/lib/aide/aide.db.new.gz
ログ場所:/var/log/aide/aide.log

/etc/aide.confに、検知の必要ないディレクトリを設定しておきます。

sudo vi /etc/aide.conf

自分の場合は以下を追加してます。

!/tmp
!/proc
!/usr/log

aide使い方

以下のコマンドでチェックが実行されます。

sudo aide -C

or

sudo aide --check

実行結果は、以下に書き出されます。

sudo less /var/log/aide/aide.log

DBを更新する場合は、以下のコマンドを実行します。

sudo aide -u
sudo mv -f /var/lib/aide/aide.db{.new,}.gz

ためしに、一度「aide」を上記のコマンドで更新して、改ざんしてみます。

sudo touch /bin/test-dummy

チェックします。

sudo aide -C

<出力結果>
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:      686691
  Added entries:                1
  Removed entries:              0
  Changed entries:              3

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /usr/bin/dummy-test

通知

後は、cronなどで定期実行して結果をmailで通知を行えばいいかと思います。

aide -u | mailx -s 'aied finish' root;mv -f /var/lib/aide/aide.db{.new,}.gz