- blogs:
- cles::blog
AIDE でファイルの改竄をチェックする
intrusion
AIDE というファイル改竄を監視するためのツールを見つけたのでメモ。
昔、よく使われていた Tripwire の OSS 版ような感じですね。
動作としてはファイルのチェックサムを DB として持っておき、これを定期的にチェックすることによりファイルの改竄するという比較的簡単な仕組みで動作します。
AIDE - Advanced Intrusion Detection Environment
It creates a database from the regular expression rules that it finds from the config file(s). Once this database is initialized it can be used to verify the integrity of the files. It has several message digest algorithms (see below) that are used to check the integrity of the file. All of the usual file attributes can also be checked for inconsistencies. It can read databases from older or newer versions. See the manual pages within the distribution for further info.
† インストールは簡単
インストール自体は dnf コマンドを使えば一撃で済みます。
† 日々の運用
あとは aide --init でデータベースを初期化し、mv -f /var/lib/aide/aide.db{.new,}.gz でデータベースを本番化しておきます。あとは定期的に
を実行してやれば改竄の検知ができます。ファイルをアップデートした場合には、誤検知を防ぐためにデータベースのアップデート(aide -u; mv -f /var/lib/aide/aide.db{.new,}.gz)忘れずに行っておきましょう。
どちらかというと Static なウェブサーバなど、ファイルの更新頻度が低いサーバ向けのソリューションです。
このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/13095
古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
コメントは承認後の表示となります。
OpenIDでログインすると、即時に公開されます。
OpenID を使ってログインすることができます。
- メイリオ + Consolas の等幅... (1)
- シェルスクリプトで最新のフ... (1)
- 情報処理安全確保支援士の登... (1)
- どうしてみんな firewalld で... (1)
- Windows のディスクのプロパ... (1)
2 . Word で数式がグレーアウトされていて挿入できないときは(7116)
3 . Windows 10 で勝手にログアウトされないようにする(5354)
4 . Firefox でパスワードが保存されるページとされないページの違い(4035)
5 . awk で指定した n カラム目以降を出力する(3615)
