最近でもない昔からはセキュリティーが話題です。特に今日本がデジタル化となっていく時代には必ずたくさんの人がシステムを触る機会があります。

自分はLinuxサーバー管理エンジニアですが、Linuxは大好きなOSです。どのOSも欠点や利点はありますが、Linuxには使いやすさを感じるので、好きです。

但し、Linuxを管理するのに初心者でも出来るが、逆に自由すぎるくらい誰しも勝手にベストプラクティスが出来てしまいます。また、個々の勉強した内容も多少の違いが存在しているため、絶対に全く同じシステムの管理方法は出来かねます。

プロダクション（運用）環境では、システムを振るのは一人ではない確率が高く、複数のエンジニアが管理する事がほとんどです。Linuxを管理する人として、誰もが自分の中に「一番良い方法」や「ルール」はありますが、システムの目的、環境、いろんな様相でLinuxの使い方や仕様は異なります。

こういった事態では～

• 「設定をどこか書けばいいんだ！」
• 「絶対に変更しては行けない！」
• 「変更する前に許可を取りましょう！」
• 「誰が変更したんだろう？」
• その他！

Linuxを管理するのに大変そうに感じますが、そのため一つ約に立つツールとしてAIDEです！

aideとは？

欧米ではCISという色んなシステムのベンチマーク資料を提供しているセキュリティー関連のコミュニティが管理している団体が存在しています。OS事やミドルウェアさえのベストプラクティスのベンチマークが細かく提供されています。

特にサーバー系のOSを管理する側からでは、色んなサーバーの種類から、サーバーの設定が盛り沢山。そのため、ベンチマーク資料を参考にして、自分が知らないセキュリティー強化のベースラインとして利用しても間違いなくポジティブな結果としかならないと思います。

Linuxの資料の中には、必ずAIDEというツールの利用が推奨されている事があります。

aideはAdvanced Intrusion Detection Environmentという、ファイル改ざん検知ツールです。

とくにペンタゴンなどにも使用される大事なツールです。

どのファイルを編集した際に、ファイルのSHAが変わるので、cronで動くAIDEは指定したファイル、またはファイルパスのすべてのファイルのSHAを取り出し、AIDEのデータベースで比較し記録してくれるような仕組みです。

例:

上の図のように、どのファイルが変わったか確認する事が出来ます。

aideを使って見る！

１．aideをインストールする！

AIDEはとても便利、または必要性の高いツールなので、deb系やrhel系などのlinuxディストリビューションの標準レポジトリに存在していますので、簡単にインストールできます。

RHEL系

yum install aide

Debian系

apt install aide

インストールしたら、一度バージョンチェックしてね！

aide -v

２．aideの設定を確認したり、編集したりする。

/etc/aide/aide.conf

や

/etc/aide.conf

にAIDEの設定があります。

インストール時に、デフォールトの設定が存在しているので、そのまま利用する事が出来ます。

必要性や好みによって、設定ファイルやデータベースなどを変更する事も可能です。

３．aideをイニシャライズする

RHEL系

aide --init

Debian系

aideinit

最初に動かした場合、すべてのファイルのSHAをデータベースに記録するので、多少時間がかかります。

４．aideで改ざんしたファイルをチェックする！

RHEL系

aide --check

Debian系

aide.wrapper --check

aideの結果を使って、ファイルを管理する

AIDEで、どのファイルが変わったかわかるが、実際問題があった場合はバックアップから取り戻すのは普通の方法ですが、もし、バックアップを取れなかった場合は、「etckeeper」（別のブログに説明）を使用する事で、gitに保存したファイルを戻すことは可能です。

 

aideを監視して、変わったことがあれば通知してくれる？

/etc/default/aide

の中にメールで通知するための設定は記載されています。

また、監視ツールで異常などを検知したら、通知できるようにする事も出来ます。

監視の課題になるので、また次回のブログに書きます！

では！