第7章 AIDE で整合性の確認
Advanced Intrusion Detection Environment (AIDE) は、システムにファイルのデータベースを作成し、そのデータベースを使用してファイルの整合性を確保し、システムの侵入を検出するユーティリティーです。
7.1. AIDE のインストール
AIDE を使用してファイル整合性チェックを開始するには、対応するパッケージをインストールし、AIDE データベースを初期化する必要があります。
前提条件
-
AppStreamリポジトリーが有効になっている。
手順
aideパッケージをインストールします。# yum install aide初期データベースを生成します。
# aide --init Start timestamp: 2024-07-08 10:39:23 -0400 (AIDE 0.16) AIDE initialized database at /var/lib/aide/aide.db.new.gz Number of entries: 55856 --------------------------------------------------- The attributes of the (uncompressed) database(s): --------------------------------------------------- /var/lib/aide/aide.db.new.gz … SHA512 : mZaWoGzL2m6ZcyyZ/AXTIowliEXWSZqx IFYImY4f7id4u+Bq8WeuSE2jasZur/A4 FPBFaBkoCFHdoE/FW/V94Q==-
デフォルト設定では、
aide --initコマンドは、/etc/aide.confファイルで定義するディレクトリーとファイルのセットのみを確認します。ディレクトリーまたはファイルを AIDE データベースに追加し、監視パラメーターを変更するには、/etc/aide.confを変更します。 データベースの使用を開始するには、初期データベースのファイル名から末尾の
.newを削除します。# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz-
AIDE データベースの場所を変更するには、
/etc/aide.confファイルを編集し、DBDIR値を変更します。追加のセキュリティーのデータベース、設定、/usr/sbin/aideバイナリーファイルを、読み取り専用メディアなどの安全な場所に保存します。
