2013年8月6日火曜日

ホスト型侵入検知ツール(IDS)の aideを Amazon Linuxにインストール

徳丸さんが改ざん検知を導入したそうなので、うちにも入れてみた。徳丸さんはionotifywait(とTripwire)を採用したそうだけど、調べてみたらaideの方が使いやすそう。aideはTripwireなどと同じホスト型の侵入検知ツールというか改竄検知ツール、というか差分ファイル調査ツール。
なのでaideをAmazon Linuxにインストールしてcronで動かすまでの備忘録。rootで作業した。

インストール
yum install aide

設定ファイル編集
vi /etc/aide.conf
  • デフォルト設定の注意点
    • /var/www が含まれていないのでWebファイルの改竄を検知できない
    • /etc/httpd も含まれていない
    • /var/log が含まれているのでログが書かれると反応してしまう
  • 最初は厳し目(検知多め)にしておいて、使いながら緩くしていくのが良さそう

cron設定例
MAILTO=foo@example.com
00 2 * * * cd /var/lib/aide; cp aide.db.new.gz aide.db.gz; /usr/sbin/aide -u > /dev/null || cat /var/log/aide/aide.log
  • 毎晩2時に、前回作ったDBを適用し、チェック&DB作成を実行し、異常があった場合のみログの内容をメールで送付する場合の例
  • エラーがある場合は標準出力に出力されるエラー情報と同じ内容がログにも出力されるので、標準出力は /dev/null に捨てている


きちんとやるなら、aideのDBをどうやって守るか(別サーバに置くなど)とかも考えないといけないみたい。

0 件のコメント:

tags