Amazon

2012年10月7日日曜日

aide



CentOSにホスト型侵入検知のaideを導入してみます。


インストール


RedHatと同様、yumを使ってインストールします。



$ sudo yum install aide


初期設定


インストール直後のネットワーク接続前に初期状態のファイルを作成して、どこかに保管しておきます。



$ sudo time aide -i

AIDE, version 0.14

### AIDE database at /var/lib/aide/aide.db.new.gz initialized.

35.34user 27.95system 2:30.66elapsed 42%CPU (0avgtext+0avgdata 285472maxresident)k
3248800inputs+860672outputs (651major+3004366minor)pagefaults 0swaps
$ ls -l /var/lib/aide/aide.db.new.gz
-rw-------. 1 root root 5648939 10月 13 20:49 2012 /var/lib/aide/aide.db.new.gz
$ sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz


チェック


初期に作成したデータベースの直後では、何も変更がない想定でしたが38個も変更が見つかりました。


なんでだろ。



$ sudo aide --check
AIDE found differences between database and filesystem!!
Start timestamp: 2012-10-13 21:13:16

Summary:
Total number of files: 78886
Added files: 0
Removed files: 0
Changed files: 38
...





0 件のコメント: