Ubuntuでファイルの改ざんを検出する方法

Ubuntuでのファイル改ざん検出は、システムのセキュリティを守るために非常に重要です。この記事では、特定のファイルやディレクトリに対して改ざんが行われたかどうかを検出するためのツールや手法について解説します。

AIDE（Advanced Intrusion Detection Environment）は、ファイルの改ざんを検出するための強力なツールです。まず、インストールから設定までの手順を紹介します。

sudo apt update
sudo apt install aide

AIDEをインストールした後、データベースを初期化します。

sudo apt update
sudo apt install aide

このデータベースは、現在のファイルの状態を記録しており、次回のチェックで改ざんがないか確認できます。

データベースを使用して改ざんが検出されたかどうかを確認するためには、次のコマンドを実行します。

sudo aide --check

これにより、ファイルの改ざんがあったかどうかがログとして出力されます。

TripwireもAIDEと同様にファイル改ざん検出に使えるツールです。まずはインストールを行います。

sudo apt install tripwire

Tripwireをセットアップし、ファイルシステムの監視を行うための設定を行います。

リアルタイムでファイルの改ざんを監視する場合、inotifywaitが役立ちます。inotifywaitはファイルやディレクトリの変更をリアルタイムで検知します。

まず、inotify-toolsをインストールします。

sudo apt install inotify-tools

次に、監視したいディレクトリを指定してコマンドを実行します。

inotifywait -m /path/to/directory

これにより、指定ディレクトリ内のファイルの変更や追加・削除がリアルタイムで通知されます。

auditdは、システム全体の監査を行うためのデーモンです。これにより、ファイルの改ざんや不正なアクセスを監視できます。

まず、auditdをインストールします。

sudo apt install auditd

次に、監視したいファイルやディレクトリに対して監査ルールを追加します。

auditctl -w /path/to/file -p wa -k file_modification

この設定では、指定したファイルへの書き込みやアクセスが監視され、ログに記録されます。

ファイルのハッシュ値を計算し、改ざんされていないかを確認するシンプルな方法もあります。以下のコマンドでファイルのハッシュ値を取得できます。

md5sum /path/to/file
sha256sum /path/to/file

このハッシュ値を保存しておき、後で同じファイルのハッシュ値と比較することで改ざんを検出できます。