CentOS 6でのAIDEのセットアップ

• ステップ1：AIDEのインストール
• ステップ2：AIDEの構成
• 結論

SSHポートの変更やファイアウォールルールの設定などの日常的なタスクでサーバーを保護した後は、ほとんど安全です。ただし、攻撃者がサーバーにアクセスする可能性があります。これが発生した場合、次の防御策は、サーバーでファイルが変更されたときに学習することです。AIDEを使用すると、サーバーで特定のファイルが変更されると通知されます。

この記事では、CentOS 6でサーバーをより適切に保護するためにAIDEをインストールする方法を説明します。

ステップ1：AIDEのインストール

ソフトウェアのインストールは非常に簡単です。rootユーザーとして次のコマンドを実行するだけです。

yum install -y aide

これでインストールは完了です。

ステップ2：AIDEの構成

これは難しい部分です。AIDEが機能するためには、通知が必要なフォルダー/ファイルのデータベースをコンパイルする必要があります。AIDEのデフォルトを使用します。特定のフォルダー/ファイルに監視を設定することは、このチュートリアルの範囲外です。このタイプの構成が必要な場合は、AIDEの資料を参照してください。

まず、AIDEを初期化する必要があります。ルートとして次のコマンドを実行します。

aide --init

これで初めてデータベースが作成されます。次に、これらのコマンドをrootとして実行します。

cd /var/lib/aide
mv aide.db.new.gz aide.db.gz

残念ながら、これがないとAIDEは機能しないため、この手順は必須です。

AIDEにも初めてファイルを検査させる必要があるため、これらのコマンドをrootとして実行します。

aide --check
aide --update

/var/lib/aideディレクトリに戻ると、別の新しいデータベースが見つかります。次のコマンドを実行して、ファイル名に新しい部分がない最初のファイルを削除します。

rm aide.db.gz

新しいデータベースに移動します。

mv aide.db.new.gz aide.db.gz

デフォルトの構成はほとんどのファイルにすでに適合しているので、それを使用して問題ないはずです。あとは、許可されていない変更があった場合にAIDEからメールを送信するだけです。この記事では、nanoをテキストエディタとして使用します。

nano /etc/crontab

セクションを見つけて、メールアドレスにMAILTO=root変更rootします。次に、実行します：

crontab -e

これをファイルに追加します。

0 1 * * * /usr/sbin/aide --check

これにより、ファイルが変更されていることが検出された場合、AIDEチェックが行われ、1日に1回メールが送信されます。

結論

これにより、ほとんどの場合にセキュリティが確保されます。ただし、システムファイルまたはWebディレクトリ内の何かを変更するたびに、データベースを更新する必要があります。攻撃者がシステムにマルウェアを配置すると、AIDEがマルウェアの場所を通知し、システムを駆除できるようになります。