326.2ホストの侵入検知

LinuCレベル3 303試験の出題範囲から「326.2 ホストの侵入検知」についての例題を解いてみます。
今回は、AIDEついて取り上げます。AIDEの初期セットアップ方法について理解しましょう。

Linucレベル3 303試験 出題範囲

例題

AIDEの初期データベースを作成するコマンドとして正しいものを選択してください。

1. aide --start
2. aide --init
3. aide --create
4. aide --setup

※この例題は実際の試験問題とは異なります。

解答と解説

正解は、「2. aide --init」です。

AIDEはファイルやディレクトリの状態を記録し、後で変更がないか確認するソフトウェアです。重要な設定ファイルが改ざんされていないか、システムに意図しない変更が加えられていないかを検出するのに使われます。初めに基準となる状態をデータベースに記録し、定期的にチェックを行うことでシステムの保全やセキュリティ対策として役立ちます。

AIDEは単にファイルの存在や変更を確認するだけでなく、以下の属性をチェックします。

• ファイルサイズ
• パーミッション
• 所有者とグループ
• チェックサム（MD5、SHA1、SHA256など）
• アクセス・修正・変更時刻（atime、mtime、ctime）

初めてAIDEを利用するときは基準となるデータベースを作成します。作成には aide --init コマンドを実行します。

定期的にスキャンを行い、データベースとの差分チェックを行います。チェックは aide --check コマンドを実行します。もし変更が行われたファイルやディレクトリが検出された場合はログ出力されます。

cronやsystemd timerユニットファイルで定期的に実行することで、変更がないか自動的に確認する仕組みを導入できます。

なお監視対象の設定はaide.confで行います。特定のディレクトリを除外したい場合は以下のように先頭に!を設定します。

!/tmp/

例題の各選択肢について解説をします。

１. aide --start
不正解です。
存在しないコマンドです。AIDEにはこのようなオプションはありません。

２. aide --init
正解です。
初めてAIDEを使用する際に、基準となるデータベースを作成するためのコマンドです。

３. aide --create
不正解です。
こちらも存在しないコマンドです。初期データベース作成には--initを使用します。

４. aide --setup
不正解です。
実際には存在しないコマンドです。セットアップにはデータベース作成と設定ファイル編集を手動で行います。

AIDEのセットアップ方法を理解して、正しく利用できる準備をしておきましょう。

例題作成者

株式会社デージーネット 経営企画室 加藤大嗣