拡張侵入検出環境の使用

拡張侵入検出環境(AIDE)は、システム上の特定のファイルへの変更を検出し、それらに関してレポートするための様々なツールを使用するアプリケーションであり、これによって、ベースライン・ファイルの整合性を維持し、不正な変更や潜在的なツールキットの検出を実行できます。

このツールは次のようにインストールされます。

sudo dnf install -y aide

AIDEのインストール時に、/etc/aide.confの構成を変更できます。この構成ファイルは、AIDEで監視されるファイルとディレクトリ、およびロギングと出力の処理方法を決定するために使用されます。

AIDEでは、システムの構成状態に関する現在の情報が/var/lib/aide/aide.dbにあるデータベースに格納されます。このデータベース・ファイルのコピーを外部の場所に格納する場合は、監査の実行時にAIDEの既知の安全な状態に置換できます。ファイルがまだ存在しない場合は、次を実行することで、現在のシステム状態のファイルを作成できます:

sudo aide --init

sudo cp /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

データベースを作成したら、次を実行して、ファイルの整合性をいつでも確認できます:

sudo aide --check

差異が見つからない場合、AIDEは次のメッセージで結果を返します。

AIDE found NO differences between database and filesystem. Looks okay!!

このツールを自動cronジョブとして実行するように構成した場合は、早期侵入検出に役立つ可能性のあるシステム構成および状態への変更を示すための通常のレポートを取得できます。

詳細は、aide(1)およびaide.conf(5)の各マニュアル・ページを参照してください。