5.4. AIDE を使用した侵入検知
AIDE (Advanced Intrusion Detection Environment) は、ファイルとディレクトリーの整合性チェッカーです。これは、承認されていないファイルの改ざんまたは変更のインシデントを検出するために使用されます。たとえば、AIDE は、システムパスワードファイルが変更された場合に警告を出すことができます。
AIDE は、システムファイルを分析し、ファイルハッシュの整合性データベースをまとめることで機能します。次に、データベースは、ファイルとディレクトリーの整合性を検証し、変更を検出する際の比較ポイントとなります。
director には AIDE サービスが含まれており、AIDE 設定にエントリーを追加でき、AIDE サービスはこれを使用して整合性データベースを作成できます。以下に例を示します。
resource_registry: OS::TripleO::Services::Aide: ../puppet/services/aide.yaml parameter_defaults: AideRules: 'TripleORules': content: 'TripleORules = p+sha256' order : 1 'etc': content: '/etc/ TripleORules' order : 2 'boot': content: '/boot/ TripleORules' order : 3 'sbin': content: '/sbin/ TripleORules' order : 4 'var': content: '/var/ TripleORules' order : 5 'not var/log': content: '!/var/log.*' order : 6 'not var/spool': content: '!/var/spool.*' order : 7 'not nova instances': content: '!/var/lib/nova/instances.*' order: 8
上記の例は、積極的には保守やベンチマーク設定されないので、要件に合わせて AIDE の値を選択する必要があります。
-
TripleORules
という名前のエイリアスを宣言することで、毎回同じ属性を繰り返し除外する必要がなくなります。 -
エイリアスは
p+sha256
の属性を受け取ります。AIDE では、これは次の命令として解釈されます。sha256
の整合性チェックサムを使用してすべてのファイルパーミッションp
を監視する。
AIDE の設定ファイルで利用可能な属性の完全リストは、http://aide.sourceforge.net/stable/manual.html#config の AIDE MAN ページを参照してください。
この変更をデプロイメントに適用するには、設定を aide.yaml
という名前のファイルで保存し、以下のように overcloud deploy
コマンドに渡します。<full environment>
は、元のデプロイメントパラメーターをすべて含める必要があることを示します。以下に例を示します。
openstack overcloud deploy --templates -e <full environment> /usr/share/openstack-tripleo-heat-templates/environments/aide.yaml
5.4.1. 複雑な AIDE ルールの使用
前述の形式を使用して、複雑なルールを作成できます。以下に例を示します。
MyAlias = p+i+n+u+g+s+b+m+c+sha512
上記は、次の命令として解釈されます。チェックサムの生成に sha256 を使用して、パーミッション、inode、リンクの数、ユーザー、グループ、サイズ、ブロック数、mtime、ctime をモニターする。
エイリアスの順番の位置は常に 1
であることに注意してください。つまり、AIDE ルールの先頭に配置され、それ以下のすべての値に再帰的に適用されます。
エイリアスの後は、監視するディレクトリーになります。正規表現を使用できます。たとえば、var
ディレクトリーの監視を設定しますが、!
を使用して not 句で上書きします ('!/var/log.*'
および '!/var/spool.*'
)。