CentOSにホスト型侵入検知のaideを導入してみます。
初期設定
インストール直後のネットワーク接続前に初期状態のファイルを作成して、どこかに保管しておきます。
$ sudo time aide -i AIDE, version 0.14 ### AIDE database at /var/lib/aide/aide.db.new.gz initialized. 35.34user 27.95system 2:30.66elapsed 42%CPU (0avgtext+0avgdata 285472maxresident)k 3248800inputs+860672outputs (651major+3004366minor)pagefaults 0swaps $ ls -l /var/lib/aide/aide.db.new.gz -rw-------. 1 root root 5648939 10月 13 20:49 2012 /var/lib/aide/aide.db.new.gz $ sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
チェック
初期に作成したデータベースの直後では、何も変更がない想定でしたが38個も変更が見つかりました。
なんでだろ。
$ sudo aide --check AIDE found differences between database and filesystem!! Start timestamp: 2012-10-13 21:13:16 Summary: Total number of files: 78886 Added files: 0 Removed files: 0 Changed files: 38 ...
