ホストベースの侵入検知（IDS）ツール「aide」の実際の運用を検討してみる。

aide でシステムを定期的にチェックする場合、
単純に aide --check を定期的に実行すれば良いわけではない。

単純に aide --check を定期的に実行すると、
ある時に作成したデータベースとの比較を繰り返し実行することになる。

つまり差分が蓄積していくため、いつ何が変更されたかが特定しにくくなる。

例えば、
1 日に 1 回チェックを実施して、その日に何が変更されているかを見るためには、
チェックを実行した後に、データベースの再構築を実行する必要がある。

つまり、次のような一連のコマンドを繰り返し実行すれば良い。

# aide --check # aide --init # mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

ただし、オプションで update という便利なものがある。
これは、aide --check を実行した後に aide --init を実行するのと同じ動作をする。
update オプションを使えば次のような流れになる。

# aide --update # mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

あとは、出力ファイルである /var/log/aide/aide.log を
日付付きのファイル名などにリネームする仕組みを盛り込めば
毎日システムチェックを実施する仕組みは出来上がり。

ちなみにこんな感じ。

# mv /var/log/aide/aide.log /var/log/aide/aide.log.`date --date '1 days ago' +%Y%m%d`

RHEL 4 にホストベースの侵入検知（IDS）ツール「aide」をインストールする
RHEL 4 でのホストベースの侵入検知（IDS）ツール「aide」の終了ステータス