Centos7 ファイル改ざん検知ツール「aide」をインストールする

Centos7に、ファイル改ざん検知ツールである「aide」をインストールするまでの手順を記述してます。
環境
- OS CentOS Linux release 7.9.2009 (Core)
aideインストール
yumでインストールできます。
sudo yum install aide
以下がインストールされます。
rpm -ql aide
<出力結果>
/etc/aide.conf
/etc/logrotate.d/aide
/usr/sbin/aide
/usr/share/doc/aide-0.15.1
/usr/share/doc/aide-0.15.1/AUTHORS
/usr/share/doc/aide-0.15.1/COPYING
/usr/share/doc/aide-0.15.1/ChangeLog
/usr/share/doc/aide-0.15.1/NEWS
/usr/share/doc/aide-0.15.1/README
/usr/share/doc/aide-0.15.1/README.quickstart
/usr/share/doc/aide-0.15.1/contrib
/usr/share/doc/aide-0.15.1/contrib/aide-attributes.sh
/usr/share/doc/aide-0.15.1/contrib/bzip2.sh
/usr/share/doc/aide-0.15.1/contrib/gpg2_check.sh
/usr/share/doc/aide-0.15.1/contrib/gpg2_update.sh
/usr/share/doc/aide-0.15.1/contrib/gpg_check.sh
/usr/share/doc/aide-0.15.1/contrib/gpg_update.sh
/usr/share/doc/aide-0.15.1/contrib/sshaide.sh
/usr/share/doc/aide-0.15.1/manual.html
/usr/share/man/man1/aide.1.gz
/usr/share/man/man5/aide.conf.5.gz
/var/lib/aide
/var/log/aide
aide設定
まずは初期化を行います
sudo aide --init
<出力結果>
AIDE, version 0.15.1
### AIDE database at /var/lib/aide/aide.db.new.gz initialized.
作成したDBを、参照先のPATHに移動させます。
sudo mv -f /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
or
sudo mv -f /var/lib/aide/aide.db{.new,}.gz
構成は以下の通りになってます。
DB:/var/lib/aide/aide.db.gz
新しく作成されたDB:/var/lib/aide/aide.db.new.gz
ログ場所:/var/log/aide/aide.log
/etc/aide.confに、検知の必要ないディレクトリを設定しておきます。
sudo vi /etc/aide.conf
自分の場合は以下を追加してます。
!/tmp
!/proc
!/usr/log

aide使い方
以下のコマンドでチェックが実行されます。
sudo aide -C
or
sudo aide --check
実行結果は、以下に書き出されます。
sudo less /var/log/aide/aide.log
DBを更新する場合は、以下のコマンドを実行します。
sudo aide -u
sudo mv -f /var/lib/aide/aide.db{.new,}.gz
ためしに、一度「aide」を上記のコマンドで更新して、改ざんしてみます。
sudo touch /bin/test-dummy
チェックします。

cron設定
後は、cronなどで定期実行して結果をmailで通知を行えばいいかと思います。
aide -u | mailx -s 'aied finish' root;mv -f /var/lib/aide/aide.db{.new,}.gz
-
前の記事
C# listViewの背景色を変更する 2021.08.09
-
次の記事
python pandasでDataFrameをインデックス名でソートする 2021.08.10
コメントを書く