- 目的
- EC2でインスタンスにaide(改ざん検知)を導入
- 結論
- 以下の手順でaideを設定してawsで監視する
- 手順
- インストールコマンド
-
sudo yum install aide
-
- インストール後の確認
-
[root@ip-192-168-10-20 ec2-user]# rpm -qa |grep aide
aide-0.17.4-1.amzn2023.0.2.x86_64
-
- aideの初期化
-
aide –init
- 設定を元にDBファイルが作成されていること
-
[root@ip-192-168-10-20 ec2-user]# ll /var/lib/aide/aide.db.new.gz
-rw——-. 1 root root 4184499 Jul 8 02:39 /var/lib/aide/aide.db.new.gz
-
- 作成されたDBファイルを読み込む名称に変更する
-
[root@ip-192-168-10-20 ec2-user]# grep “database_in” /etc/aide.conf
database_in=file:@@{DBDIR}/aide.db.gz - この名前に変更する
-
- 名前の変更
-
cp /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
-
- 配置できていること
-
[root@ip-192-168-10-20 ec2-user]# ll /var/lib/aide/aide.db.gz
-rw——-. 1 root root 4184499 Jul 8 02:42 /var/lib/aide/aide.db.gz
-
-
- 改ざん検知処理実行
-
aide –check
- このように結果が出てること
-
[root@ip-192-168-10-20 ec2-user]# cat /var/log/aide/aide.log
Start timestamp: 2023-07-08 02:44:21 +0000 (AIDE 0.17.4)
AIDE found differences between database and filesystem!!Summary:
Total number of entries: 45919
Added entries: 0
Removed entries: 0
Changed entries: 3
-
-
- cronを設定する
- 日々自動的に監視ができるようにcron設定する
-
[root@ip-192-168-10-20 ec2-user]# cat /etc/cron.daily/aide_cron
# aideによる改ざん検知を毎日0時に実行するcronを設定
0 0 * * * root aide –check
[root@ip-192-168-10-20 ec2-user]#
-
- 日々自動的に監視ができるようにcron設定する
- ログローテート設定
- デフォルトでlotate設定が入ってるのでそのまま利用する
-
[root@ip-192-168-10-20 ec2-user]# cat /etc/logrotate.d/aide
/var/log/aide/*.log {
weekly
missingok
rotate 4
compress
delaycompress
copytruncate
minsize 100k
}
[root@ip-192-168-10-20 ec2-user]#
-
- デフォルトでlotate設定が入ってるのでそのまま利用する
- インストールコマンド
【aws】EC2でインスタンスにaide(改ざん検知)を導入
aws
コメント