Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

4.11. AIDE との整合性の確認

AIDE (Advanced Intrusion Detection Environment) は、システムのファイルのデータベースを作成し、そのデータベースを使用してファイルの整合性を確保し、システムの侵入を検出します。

4.11.1. AIDE のインストール

aide パッケージをインストールするには、root で以下のコマンドを実行します。
~]# yum install aide
初期データベースを生成するには、以下のコマンドを root として入力します。
~]# aide --init

AIDE, version 0.15.1

### AIDE database at /var/lib/aide/aide.db.new.gz initialized.

注記

デフォルト設定では、aide --init コマンドは、/etc/aide.conf ファイルで定義するディレクトリーとファイルのセットだけを確認します。ディレクトリーまたはファイルを AIDE データベースに追加し、監視パラメーターを変更するには、/etc/aide.conf を変更します。
データベースの使用を開始するには、初期データベースのファイル名から従属文字列の .new を削除します。
~]# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
AIDE データベースの場所を変更するには、/etc/aide.conf ファイルで DBDIR 値を変更します。追加のセキュリティーについては、データベース、設定、/usr/sbin/aide バイナリーファイルを、読み取り専用メディアなどの安全な場所に保存します。

重要

AIDE データベースの場所を変更したあと SELinux が拒否しないように、SELinux ポリシーを適宜更新します。詳細は SELinux ユーザーおよび管理者のガイド を参照してください。

4.11.2. 整合性確認の実行

手動で確認を開始するには、root で以下のコマンドを実行します。
~]# aide --check
AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2017-03-30 14:12:56

Summary:
  Total number of files:	147173
  Added files:			1
  Removed files:		0
  Changed files:		2
...
少なくても、スキャンを毎週実行するように AIDE を設定する必要があります。AIDE の頻度は、多くても1日1回までにしてください。たとえば、cron を使用して、毎日 4:05 amAIDE を実行するようにスケジュールする (『システム管理者のガイド』の 「システムタスクの自動化」 の章を参照) には、以下の行を /etc/crontab に追加します。
05 4 * * * root /usr/sbin/aide --check

4.11.3. AIDE データベースの更新

システムの変更 (パッケージの更新、設定ファイルの修正など) を行った場合は、基本となる AIDE データベースを更新します。
~]# aide --update
aide --update コマンドが /var/lib/aide/aide.db.new.gz データベースファイルを作成します。整合性の確認にこれを使用するには、ファイル名から従属文字列 .new を削除します。

4.11.4. その他のリソース

AIDE の詳細は、以下のドキュメントを参照してください。