2013年2月7日木曜日

AIDEでファイルの改竄検知(CentOS6)

スズキです。

ファイルの改ざん検知で「AIDE」というツールがあるので試してみました。

インストールは"yum"で簡単にできます。
# yum -y install aide
...

まずはベースラインを作成します。
# aide --init
AIDE, version 0.14
### AIDE database at /var/lib/aide/aide.db.new.gz initialized.

データベースファイル(新規)を比較対象のデータベースファイルとしてコピーします。
# cp /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

少し時間をおいてアップデート(差分チェック&データベースファイルの作成)すると、
# aide --update
AIDE found differences between database and filesystem!!
Start timestamp: 2013-02-06 19:24:07
Summary:
  Total number of files: 57521
  Added files:   0
  Removed files:  0
  Changed files:  2
---------------------------------------------------
Changed files:
---------------------------------------------------
changed: /opt/suz-lab/var/log/syslog/all.log
changed: /opt/suz-lab/var/lib/td-agent/pos/tail.syslog.pos
--------------------------------------------------
Detailed information about changes:
---------------------------------------------------
File: /opt/suz-lab/var/log/syslog/all.log
  Size     : 8083723                          , 8430461
  Mtime    : 2013-02-06 16:32:26              , 2013-02-06 19:25:34
  Ctime    : 2013-02-06 16:32:26              , 2013-02-06 19:25:34
  MD5      : IbyJhWJQ4Vf45QISTiRQ/w==         , mD7kwUHR3Fr/zErJp+qRQw==
  RMD160   : uJqBamhN7SrngsGIhNEl8bCbAZg=     , dTQgMnzrHKkCJuhiHCV/w7aY3cs=
  SHA256   : YClVNrQIfcJIYiOeJmpl/HSg5idi1EVM , 82SQJ3vmu72zpCDs+LFg8jXCUfuh3g9t
File: /opt/suz-lab/var/lib/td-agent/pos/tail.syslog.pos
  Mtime    : 2013-02-06 16:32:26              , 2013-02-06 19:25:34
  Ctime    : 2013-02-06 16:32:26              , 2013-02-06 19:25:34
  MD5      : NGwL/nWAms7l4FfD1hS6TA==         , Q+Xl0ac9XXGHDeRSMzDDFw==
  RMD160   : mb1Q3WOeOOBqnm/mkkORbAAR5dE=     , 73JGsD8ZzFA71xvsF1hNWFlquYQ=
  SHA256   : ZwLcczKYJUEcYaapF2eVQmwTAd0qIhhs , dXlQyMu0tMcd1ldliZTN6cXU/rnyupAy
"/opt/suz-lab/var/log/syslog/all.log"と、
"/opt/suz-lab/var/lib/td-agent/pos/tail.syslog.pos"が、変更されていると出力されました。

上記は常に変更されるファイルなので、除外するように設定します。
# cat /etc/aide.conf
...
!/opt/suz-lab/var/log
!/opt/suz-lab/var/lib/td-agent
...

再度、アップデートすると、
# aide --update
AIDE found differences between database and filesystem!!
Start timestamp: 2013-02-06 23:45:08
Summary:
  Total number of files: 57507
  Added files:   0
  Removed files:  0
  Changed files:  1
---------------------------------------------------
Changed files:
---------------------------------------------------
changed: /etc/aide.conf
--------------------------------------------------
Detailed information about changes:
---------------------------------------------------
File: /etc/aide.conf
  Inode    : 5310                             , 5361
今度は先ほど変更した設定ファイルが変更されていると出力されてしまいました。

同時にデータベースファイル(新規)も作成されているので、比較対象の
データベースファイルとして再度コピーします。
# cp /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
cp: `/var/lib/aide/aide.db.gz' を上書きしてもよろしいですか(yes/no)? yes

もう一度アップデートすると、今度は変更が無い旨の出力になりました。
# aide --update
AIDE, version 0.14
### All files match AIDE database. Looks okay!
### New AIDE database written to /var/lib/aide/aide.db.new.gz

設定ファイルの調整がなかなか大変そう...
--------
http://www.suz-lab.com
投稿者 鈴木宏康 時刻: 2:31
ラベル: ,

0 コメント:

コメントを投稿

登録: コメントの投稿 (Atom)