RHEL 4 にホストベースの侵入検知(IDS)ツール「aide」をインストールする


RHEL 4 にホストベースの侵入検知(IDS)ツール「aide」をインストールする方法は次の通り。
aide は Advanced Intrusion Detection Environment の略。
機能は tripwire と同じで、システムファイルの変更をチェックする。
つまり、ファイルの改竄を検知してシステムへの不正侵入を検知できる。

今回インストールしたのは、aide-0.13.1-3.el4.i386.rpm

rpm コマンドでインストール。

# rpm -ivh aide-0.13.1-3.el4.i386.rpm 
Preparing...                ########################################### [100%]
   1:aide                   ########################################### [100%]

これでインストール完了。
早速、デフォルトの設定で実行してみる。

まずは、変更をチェックするための基準となるデータベースの初期化。

デフォルトの設定では、/var/lib/aide 以下に比較用のデータベースが作成される。
インストール直後は何も無い。

# aide --init

AIDE, version 0.13.1

### AIDE database at /var/lib/aide/aide.db.new.gz initialized.

#

テストした環境では初期化が終わるまでに 15 分ほどかかった。

/var/lib/aide を見てみると、aide.db.new.gz が作成されている。

続いて、実際にファイルシステムのチェックを実施してみる。
今、データベースを初期化したばかりで、
何も作業をしていなければ何も変更されていないはず。

# aide --check
Couldn't open file /var/lib/aide/aide.db.gz for reading
#

/var/lib/aide/aide.db.gz が見つからないというエラー。

つまり、チェックするためには、
初期化時に作成された aide.db.new.gz を
aide.db.new.gz というファイルに置き換えておかなければならない。

すぐに置き換えてみる。

# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

再度、システムチェックを実行してみる。

# aide --update

AIDE, version 0.13.1

### All files match AIDE database. Looks okay!

### New AIDE database written to /var/lib/aide/aide.db.new.gz

#

基準のデータベースとの差分がなく、
システムファイルが変更されていなかったことが分かる。

この出力はデフォルトでは /var/log/aide/aide.log に保存される。
差分がない場合はサイズが 0 。

次に、root ユーザが passwd コマンドで他のユーザのパスワードを変更した後に
チェックを実施してみた。

# aide --check
AIDE found differences between database and filesystem!!
Start timestamp: 2008-01-06 19:02:06

Summary:
  Total number of files:        122328
  Added files:                  0
  Removed files:                0
  Changed files:                1


---------------------------------------------------
Changed files:
---------------------------------------------------

changed: /etc/shadow

--------------------------------------------------
Detailed information about changes:
---------------------------------------------------


File: /etc/shadow
  Mtime    : 2008-01-06 17:36:32              , 2008-01-06 19:01:57
  Ctime    : 2008-01-06 17:36:32              , 2008-01-06 19:01:57
  Inode    : 673602                           , 674162
  MD5      : ayhVDmfLGOgJ52z4qtlB8A==         , SJBN1VDzH3EIUAgkp6PsPQ==
  RMD160   : Cpr+ZqTMP2ZHaM/geFud5s686z0=     , EP6x3DN6ecMxwH6bGeatscafN2U=
  SHA256   : aNVybgo6N2k1xkzeQvlRnWKdEUrWC31X , qBjoT3SOPYm8hI5PXxQVIp0GxNOWOOeQ
#

/etc/shadow が変更されたことを検知できた。

これを定期的に実行すれば、定期的なファイルの改竄チェックが実施できる。


RHEL 4 でホストベースの侵入検知(IDS)ツール「aide」を運用する
RHEL 4 でのホストベースの侵入検知(IDS)ツール「aide」の終了ステータス