AIDEについて調べたので書いていきたいと思います.
Advanced Intrusion Detection Environment の略でファイル改ざん・侵入検知システムです.
主にサーバホストのファイル改ざん・侵入検知の機能を有しています.
オープンソースです.
CentOSやRedhatならば標準のリポジトリからインストールできることが魅力の1つです.
(yum install aide でOK)
インストールすると,
/etc/aide.conf
というファイルができるので,この中に設定を記述していきます.
設定方法は簡単です.
改ざんを検知したいディレクトリ アルゴリズム
と書くだけです.
例えば,
/var/www/html/ NORMAL
など.
アルゴリズムにはパーミッション,ユーザー,サイズ,更新日時,チェックサムなど様々あり,それらを組み合わせたものもアルゴリズムとして使えます.
オープンソースなので足りないものは自分で作ってみるのも良いかもしれません.
注意事項としては,
・自身のバイナリの改ざんは検知できない
・定期実行する場合はスクリプト+クーロンでやらないと面倒くさい
といったところが挙げられます.
簡単に導入することができるので,試してみてはいかがでしょうか.
