Translated message

A translation of this page exists in English.

Warning message

This translation is outdated. For the most up-to-date information, please refer to the English version.

Red Hat Enterprise Linux で aide (Advanced Intrusion Detection Environment) を使用および設定する

Solution Verified - Updated -

Environment

  • Red Hat Enterprise Linux 5
  • Red Hat Enterprise Linux 6
  • Red Hat Enterprise Linux 7
  • Red Hat Enterprise Linux 8
  • Red Hat Enterprise Linux 9
  • aide

Issue

  • Red Hat Enterprise Linux で aide (Advanced Intrusion Detection Environment) を使用および設定するには

Resolution

1. 監視するファイルを追加する

  • aide で監視する必要があるファイルは /etc/aide.conf ファイルに追加する必要があります。デフォルトでは、aide パッケージは大抵のシステムファイルを監視できる aide.conf ファイルをインストールします。各ファイルは、監視される属性セットに割り当てられます。デフォルトでは、以下のグループが定義されます。

    NORMAL = R+rmd160+sha256  

# For directories, don't bother doing hashes  
DIR = p+i+n+u+g+acl+selinux+xattrs  

# Access control only  
PERMS = p+i+u+g+acl+selinux

  • 上の各属性の詳細は "man aide.conf" で確認できます。必要に応じて aide.conf をカスタマイズしてください。

2. 基本となるデータベースを構築する

  • 初期データベースを構築するには、以下のコマンドを実行してください。

    # /usr/sbin/aide --init

  • これにより、/var/lib/aide/aide.db.new.gz にデータベースファイルが作成されます。

3. データベースと設定を保護する

  • /etc/aide.conf/usr/sbin/aide および /var/lib/aide/aide.db.new.gz を改竄されないように、安全で、可能であれば読み取り専用のメディアに保存します。

4. 整合性チェックを定期的に実行する

  • まず、基本となるデータベース (/var/lib/aide/aide.db.new.gz) を /var/lib/aide/aide.db.gz にコピーします。これは aide がデフォルトで入力データベースを探す場所になります。

  • 以下のコマンドを実行すると、データーベースの不一致を確認してレポートを作成します。

    # /usr/sbin/aide --check

This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.

Comments