徳丸さんが改ざん検知を導入したそうなので、うちにも入れてみた。徳丸さんはionotifywait(とTripwire)を採用したそうだけど、調べてみたらaideの方が使いやすそう。aideはTripwireなどと同じホスト型の侵入検知ツールというか改竄検知ツール、というか差分ファイル調査ツール。
なのでaideをAmazon Linuxにインストールしてcronで動かすまでの備忘録。rootで作業した。
インストール
yum install aide
設定ファイル編集
vi /etc/aide.conf
- デフォルト設定の注意点
- /var/www が含まれていないのでWebファイルの改竄を検知できない
- /etc/httpd も含まれていない
- /var/log が含まれているのでログが書かれると反応してしまう
- 最初は厳し目(検知多め)にしておいて、使いながら緩くしていくのが良さそう
cron設定例
MAILTO=foo@example.com00 2 * * * cd /var/lib/aide; cp aide.db.new.gz aide.db.gz; /usr/sbin/aide -u > /dev/null || cat /var/log/aide/aide.log
- 毎晩2時に、前回作ったDBを適用し、チェック&DB作成を実行し、異常があった場合のみログの内容をメールで送付する場合の例
- エラーがある場合は標準出力に出力されるエラー情報と同じ内容がログにも出力されるので、標準出力は /dev/null に捨てている
きちんとやるなら、aideのDBをどうやって守るか(別サーバに置くなど)とかも考えないといけないみたい。
投稿
0 件のコメント:
コメントを投稿