ksaitoの日記

日々試したことの覚え書き

aide

CentOSにホスト型侵入検知のaideを導入してみます。

インストール

RedHatと同様、yumを使ってインストールします。

$ sudo yum install aide

初期設定

インストール直後のネットワーク接続前に初期状態のファイルを作成して、どこかに保管しておきます。

$ sudo time aide -i

AIDE, version 0.14

### AIDE database at /var/lib/aide/aide.db.new.gz initialized.

35.34user 27.95system 2:30.66elapsed 42%CPU (0avgtext+0avgdata 285472maxresident)k
3248800inputs+860672outputs (651major+3004366minor)pagefaults 0swaps
$ ls -l /var/lib/aide/aide.db.new.gz 
-rw-------. 1 root root 5648939 10月 13 20:49 2012 /var/lib/aide/aide.db.new.gz
$ sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz 

チェック

初期に作成したデータベースの直後では、何も変更がない想定でしたが38個も変更が見つかりました。
なんでだろ。

$ sudo aide --check
AIDE found differences between database and filesystem!!
Start timestamp: 2012-10-13 21:13:16

Summary:
  Total number of files:	78886
  Added files:			0
  Removed files:		0
  Changed files:		38
...