- 1 AIDEとは?
- 2 検証環境
- 3 インストール方法
- 4 オプション一覧
- 5 基本的な使いかた
- 6 特定のディレクトリをチェックする方法(--limit)
- 7 ファイルサイズの変更をチェックする方法(s)
- 8 パーミッションの変更をチェックする方法(p)
- 9 ハッシュ値の変更をチェックする方法(sha256)
- 10 特定ファイルをチェックする方法
- 11 ログファイルの格納場所
- Z 参考情報
1 AIDEとは?
ファイル等が改ざんされたことを検知するセキュリティツールです。
2 検証環境
CentOS版数は以下のとおりです。
[root@server ~]# cat /etc/centos-release CentOS Linux release 8.3.2011
カーネル版数は以下のとおりです。
[root@server ~]# uname -r 4.18.0-240.el8.x86_64
3 インストール方法
aideパッケージをインストールします。
[root@server ~]# dnf -y install aide
版数を確認します。
[root@server ~]# aide -v Aide 0.16 -snip-
4 オプション一覧
オプションは以下のとおりです。
[root@server ~]# aide -h Aide 0.16 Usage: aide [options] command Commands: -i, --init Initialize the database -C, --check Check the database -u, --update Check and update the database non-interactively -E, --compare Compare two databases Miscellaneous: -D, --config-check Test the configuration file -v, --version Show version of AIDE and compilation options -h, --help Show this help message Options: -c [cfgfile] --config=[cfgfile] Get config options from [cfgfile] -l [REGEX] --limit=[REGEX] Limit command to entries matching [REGEX] -B "OPTION" --before="OPTION" Before configuration file is read define OPTION -A "OPTION" --after="OPTION" After configuration file is read define OPTION -r [reporter] --report=[reporter] Write report output to [reporter] url -V[level] --verbose=[level] Set debug message level to [level]
5 基本的な使いかた
5.1 手順
改ざんチェックの手順は以下のようになります。
1. データベース初期化(aide -i)
2. データベース保存(cp /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz)
3. ファイルの改ざん
4. 改ざんチェック(aide -C)
5.2 実行例
-iオプションを指定してデータベースを初期化します。データベースは、/var/lib/aide配下にaide.db.new.gzという名前で作成されます。デフォルトでは、/boot配下、/opt配下の情報をデータベース化します。私の環境では、実行完了まで5分程度かかりました。
[root@server ~]# aide -i AIDE, version 0.15.1 ### AIDE database at /var/lib/aide/aide.db.new.gz initialized.
作成したデータベースを確認します。
[root@server ~]# ls -l /var/lib/aide/aide.db.new.gz -rw-------. 1 root root 2603228 6月 23 19:45 /var/lib/aide/aide.db.new.gz
作成したデータベースをaide.db.gzという名前に変更します。このあと実行するaide -Cで生成するデータベースと比較することで、ファイルに改ざんがあったかどうかを検出します。
[root@server ~]# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
ファイルの改ざんをチェックします。改ざんされていなければ、以下のメッセージが出力されます。
[root@server ~]# aide -C AIDE, version 0.15.1 ### All files match AIDE database. Looks okay!
6 特定のディレクトリをチェックする方法(--limit)
/etc配下をチェックしてみます。
/etc配下の情報をデータベースに登録します。
[root@server ~]# aide -i --limit=/etc
Start timestamp: 2022-06-26 06:48:43 -0400 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz
Limit: /etc
Number of entries: 1031
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db.new.gz
MD5 : +hEAiMnlMo2gQsb8IDAm1Q==
SHA1 : Cv7erFfc5437Hm4fyWWeSKSPt18=
RMD160 : 9CMcIrdEmpEEIHlQP4tu5uYoRSE=
TIGER : gpAlYMOoHqEmkyWm0QpnKdZdfMTb2eIz
SHA256 : SQoWM6VpLsLAkzoDsXKyC/p/0itkHhN/
UN0IK72H5OI=
SHA512 : xsTXbY3LISeQc2o3CWEXAvoG2i9MWpdn
Rk4I52EQbEhwIfiCs2LcUte4Y4Jo7Bf3
XETs3tM9n746A3/FYSgtWQ==
End timestamp: 2022-06-26 06:48:44 -0400 (run time: 0m 1s)作成したデータベースの名前をaide.db.gzに変更します。
[root@server ~]# cp /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
改ざんされた状況を意図的に作成するため、/etc配下にテストファイルを作成します。
[root@server ~]# touch /etc/test.txt
/etc配下に改ざんがあったかどうかをチェックします。実行結果に、"AIDE found differences between database and filesystem!!"と出力されているので、/etc配下に改ざんがあったことがわかります。また、Added entriesの項を確認すると、 ファイル(/etc/test.txt)が追加されたことがわかります。
[root@server ~]# aide -C --limit=/etc
Start timestamp: 2022-06-26 06:51:18 -0400 (AIDE 0.16)
AIDE found differences between database and filesystem!!
Limit: /etc
Summary:
Total number of entries: 1032
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /etc/test.txt
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db.gz
MD5 : +hEAiMnlMo2gQsb8IDAm1Q==
SHA1 : Cv7erFfc5437Hm4fyWWeSKSPt18=
RMD160 : 9CMcIrdEmpEEIHlQP4tu5uYoRSE=
TIGER : gpAlYMOoHqEmkyWm0QpnKdZdfMTb2eIz
SHA256 : SQoWM6VpLsLAkzoDsXKyC/p/0itkHhN/
UN0IK72H5OI=
SHA512 : xsTXbY3LISeQc2o3CWEXAvoG2i9MWpdn
Rk4I52EQbEhwIfiCs2LcUte4Y4Jo7Bf3
XETs3tM9n746A3/FYSgtWQ==
End timestamp: 2022-06-26 06:51:18 -0400 (run time: 0m 0s)
7 ファイルサイズの変更をチェックする方法(s)
/test配下のファイルサイズが変更されたら、その旨のメッセージが出力されるようにしてみます。
7.1 設定ファイル編集
オリジナルの設定ファイルに対して次の設定を追加しました。/testディレクトリに対してs属性を設定します。s属性はファイルサイズの変更をチェックする属性です。
[root@server ~]# diff -Nur /etc/aide.conf.org /etc/aide.conf --- /etc/aide.conf.org 2022-06-26 07:09:58.051229926 -0400 +++ /etc/aide.conf 2022-06-26 07:09:35.229036599 -0400 @@ -87,6 +87,7 @@ DATAONLY = p+n+u+g+s+acl+selinux+xattrs+sha512 # Next decide what directories/files you want in the database. +/test s /boot CONTENT_EX /opt CONTENT
7.2 事前準備
/test配下にテスト用のファイルを作成します。
[root@server ~]# mkdir /test [root@server ~]# echo 12345 > /test/aa.txt
ファイルサイズを確認します。6バイトであることがわかります。
[root@server ~]# ls -l /test/aa.txt -rw-r--r--. 1 root root 6 6月 26 07:10 /test/aa.txt
7.3 データベース初期化
/test配下の情報をデータベースに登録します。
[root@server ~]# aide -i --limit=/test
Start timestamp: 2022-06-26 07:27:31 -0400 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz
Limit: /test
Number of entries: 2
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db.new.gz
MD5 : mRgo15fHMTVh0OpUpAtjzQ==
SHA1 : sfHRHcYXlgUl/dkSHcaAcdj0Rng=
RMD160 : jkM7RxPQ5WsBdJZZLPvMOQNd3Go=
TIGER : sTie6HE3mmTESOacMrGabXudO9sUsKeL
SHA256 : cEO0jd8ahI/yWt4OVgzpiED8MBEpd6r3
YtrvzSewlQ4=
SHA512 : 8Jh4Md+c0ToeP2/fu+aJtWMeLqSQ6RkG
9JW8hEAypqI+wYNZxdNmaZ/guweRnUSD
sJNJ/lPGqRFeCNJXXeyAiQ==
End timestamp: 2022-06-26 07:27:31 -0400 (run time: 0m 0s)作成したデータベースの名前をaide.db.gzに変更します。
[root@server ~]# cp /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
7.4 ファイルサイズ変更
テスト用ファイルのサイズを変更します。
[root@server ~]# vi /test/aa.txt [root@server ~]# cat /test/aa.txt 123456
ファイルサイズを確認します。ファイルサイズが7バイトに変更されたことがわかります。
[root@server ~]# ls -l /test/aa.txt -rw-r--r--. 1 root root 7 6月 26 07:28 /test/aa.txt
7.5 改ざんチェック
/test配下のファイルサイズの変更をチェックします。/test/aa.txtファイルサイズが6バイトから7バイトに変更された旨のメッセージが出力されていることがわかります。
[root@server ~]# aide -C --limit=/test
Start timestamp: 2022-06-26 07:29:37 -0400 (AIDE 0.16)
AIDE found differences between database and filesystem!!
Limit: /test
Summary:
Total number of entries: 2
Added entries: 0
Removed entries: 0
Changed entries: 1
---------------------------------------------------
Changed entries:
---------------------------------------------------
f > : /test/aa.txt
---------------------------------------------------
Detailed information about changes:
---------------------------------------------------
File: /test/aa.txt
Size : 6 | 7
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db.gz
MD5 : mRgo15fHMTVh0OpUpAtjzQ==
SHA1 : sfHRHcYXlgUl/dkSHcaAcdj0Rng=
RMD160 : jkM7RxPQ5WsBdJZZLPvMOQNd3Go=
TIGER : sTie6HE3mmTESOacMrGabXudO9sUsKeL
SHA256 : cEO0jd8ahI/yWt4OVgzpiED8MBEpd6r3
YtrvzSewlQ4=
SHA512 : 8Jh4Md+c0ToeP2/fu+aJtWMeLqSQ6RkG
9JW8hEAypqI+wYNZxdNmaZ/guweRnUSD
sJNJ/lPGqRFeCNJXXeyAiQ==
End timestamp: 2022-06-26 07:29:37 -0400 (run time: 0m 0s)
8 パーミッションの変更をチェックする方法(p)
ファイルのパーミッションが変更されたら、その旨のメッセージが出力されるようにしてみます。
8.1 設定ファイル編集
/test配下でパーミッションが変更されたら、その旨のメッセージが出力されるようにしてみます。
オリジナルの設定ファイルに対して次の設定を追加しました。/testディレクトリに対してp属性を設定します。p属性はパーミッションの変更をチェックする属性です。
[root@server ~]# diff -Nur /etc/aide.conf.org /etc/aide.conf --- /etc/aide.conf.org 2022-06-26 07:09:58.051229926 -0400 +++ /etc/aide.conf 2022-06-26 07:38:30.530954496 -0400 @@ -87,6 +87,7 @@ DATAONLY = p+n+u+g+s+acl+selinux+xattrs+sha512 # Next decide what directories/files you want in the database. +/test p /boot CONTENT_EX /opt CONTENT
8.2 事前準備
ファイルのパーミッションを確認します。ファイルのパーミッションが644であることがわかります。
[root@server ~]# ls -l /test/aa.txt -rw-r--r--. 1 root root 7 6月 26 07:28 /test/aa.txt
8.3 データベース初期化
/test配下の情報をデータベースに登録します。
[root@server ~]# aide -i --limit=/test
Start timestamp: 2022-06-26 07:42:10 -0400 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz
Limit: /test
Number of entries: 2
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db.new.gz
MD5 : OXMh6+1T5fMDGmmCDo+shQ==
SHA1 : A7j/Rwxcriuoh7j9wf+pcgLdm2w=
RMD160 : Ga1vS5/0/asagJQyjwmanNFuqMI=
TIGER : J3eFuSYh2TxYA7MCR4DMwSqJ8H3N/Uum
SHA256 : 77JH0lwEm9EDK1XUdCzj8m/0JMLZGMkY
Pi5w4IQa0pw=
SHA512 : K7AIAmG8Ovkc5/82LQKuuD7QOPOGCrlE
/Us9m2ujGi4WqzRcyIKcz/tWhoC23Dce
Cf2zx5ZlTFphnBg9SXwQww==
End timestamp: 2022-06-26 07:42:10 -0400 (run time: 0m 0s)作成したデータベースの名前をaide.db.gzに変更します。
[root@server ~]# cp /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
8.4 パーミッションの変更
ファイルのパーミッションを変更します。ファイルのパーミッションが666に変更されたことがわかります。
[root@server ~]# chmod 666 /test/aa.txt [root@server ~]# ls -l /test/aa.txt -rw-rw-rw-. 1 root root 7 6月 26 07:28 /test/aa.txt
8.5 改ざんチェック
/test配下のファイルのパーミッションの変更をチェックをします。ファイルのパーミッションが644から666に変更された旨のメッセージが出力されていることがわかります。
[root@server ~]# aide -C --limit=/test
Start timestamp: 2022-06-26 07:48:19 -0400 (AIDE 0.16)
AIDE found differences between database and filesystem!!
Limit: /test
Summary:
Total number of entries: 2
Added entries: 0
Removed entries: 0
Changed entries: 1
---------------------------------------------------
Changed entries:
---------------------------------------------------
f p : /test/aa.txt
---------------------------------------------------
Detailed information about changes:
---------------------------------------------------
File: /test/aa.txt
Perm : -rw-r--r-- | -rw-rw-rw-
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db.gz
MD5 : OXMh6+1T5fMDGmmCDo+shQ==
SHA1 : A7j/Rwxcriuoh7j9wf+pcgLdm2w=
RMD160 : Ga1vS5/0/asagJQyjwmanNFuqMI=
TIGER : J3eFuSYh2TxYA7MCR4DMwSqJ8H3N/Uum
SHA256 : 77JH0lwEm9EDK1XUdCzj8m/0JMLZGMkY
Pi5w4IQa0pw=
SHA512 : K7AIAmG8Ovkc5/82LQKuuD7QOPOGCrlE
/Us9m2ujGi4WqzRcyIKcz/tWhoC23Dce
Cf2zx5ZlTFphnBg9SXwQww==
End timestamp: 2022-06-26 07:48:19 -0400 (run time: 0m 0s)
9 ハッシュ値の変更をチェックする方法(sha256)
ファイルのハッシュ値が変更されたら、その旨のメッセージが出力されるようにしてみます。
9.1 設定ファイル編集
設定ファイルを編集します。/test配下のファイルのハッシュ値が変更されたことを検出するための設定をします。
[root@server ~]# diff -Nur /etc/aide.conf.org /etc/aide.conf --- /etc/aide.conf.org 2022-06-26 07:09:58.051229926 -0400 +++ /etc/aide.conf 2022-06-26 08:25:53.969079561 -0400 @@ -87,6 +87,7 @@ DATAONLY = p+n+u+g+s+acl+selinux+xattrs+sha512 # Next decide what directories/files you want in the database. +/test sha256 /boot CONTENT_EX /opt CONTENT
9.2 事前準備
ファイルの中身を確認します。
[root@server ~]# cat /test/aa.txt 123456
ファイルのハッシュ値を確認します。
[root@server ~]# sha256sum /test/aa.txt e150a1ec81e8e93e1eae2c3a77e66ec6dbd6a3b460f89c1d08aecf422ee401a0 /test/aa.txt
9.3 データベース初期化
/test配下の情報をデータベースに登録します。
[root@server ~]# aide -i --limit=/test
Start timestamp: 2022-06-26 08:31:55 -0400 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz
Limit: /test
Number of entries: 2
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db.new.gz
MD5 : vVvQAlRJvsQCKCVw7AqYRw==
SHA1 : /RqI1fEY3Qfmi+29D8TApd5B4u4=
RMD160 : Iiu4SoGt/2CClCTTYJaPTIzOVm8=
TIGER : 3AO8JU+SXLrFf/qZ8WA/CMK+IouS9HGE
SHA256 : H3obOMJ1ncE+acfZcbTpwXh8CknC4f3z
IwF4iFwixqc=
SHA512 : X9Su1CtO4ykeE1lRcVLX89jdEbcN4oE0
F5K9M6uTCaUn9dNIkAXuYzyuSbc1hqkO
CtJqL7Db8osDwzXZIjzw5Q==
End timestamp: 2022-06-26 08:31:55 -0400 (run time: 0m 0s)作成したデータベースの名前をaide.db.gzに変更します。
[root@server ~]# cp /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
9.4 ファイルの変更
テスト用ファイルの1バイト目を1から0に変更します。ファイルサイズは変化しませんが、ファイルのハッシュ値が変化します。
[root@server ~]# vi /test/aa.txt [root@server ~]# cat /test/aa.txt 023456
ファイルのハッシュ値を確認します。ファイルのハッシュ値が変更されたことがわかります。
[root@server ~]# sha256sum /test/aa.txt 4a9bf1614ab844e85878ac81d566fce98b5306f3f4c5ba8abb419b1e79aa67c3 /test/aa.txt
9.5 改ざんチェック
/test配下のファイルのハッシュ値の変更をチェックをします。/test/aa.txtのハッシュ値が変更された旨のメッセージが出力されていることがわかります。
[root@server ~]# aide -C --limit=/test
Start timestamp: 2022-06-26 08:34:32 -0400 (AIDE 0.16)
AIDE found differences between database and filesystem!!
Limit: /test
Summary:
Total number of entries: 2
Added entries: 0
Removed entries: 0
Changed entries: 1
---------------------------------------------------
Changed entries:
---------------------------------------------------
f C : /test/aa.txt
---------------------------------------------------
Detailed information about changes:
---------------------------------------------------
File: /test/aa.txt
SHA256 : 4VCh7IHo6T4eriw6d+ZuxtvWo7Rg+Jwd | SpvxYUq4ROhYeKyB1Wb86YtTBvP0xbqK
CK7PQi7kAaA= | u0GbHnmqZ8M=
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db.gz
MD5 : vVvQAlRJvsQCKCVw7AqYRw==
SHA1 : /RqI1fEY3Qfmi+29D8TApd5B4u4=
RMD160 : Iiu4SoGt/2CClCTTYJaPTIzOVm8=
TIGER : 3AO8JU+SXLrFf/qZ8WA/CMK+IouS9HGE
SHA256 : H3obOMJ1ncE+acfZcbTpwXh8CknC4f3z
IwF4iFwixqc=
SHA512 : X9Su1CtO4ykeE1lRcVLX89jdEbcN4oE0
F5K9M6uTCaUn9dNIkAXuYzyuSbc1hqkO
CtJqL7Db8osDwzXZIjzw5Q==
End timestamp: 2022-06-26 08:34:32 -0400 (run time: 0m 0s)
10 特定ファイルをチェックする方法
10.1 設定ファイル編集
設定ファイルを編集します。このとき、aa.txtをチェック対象にします。特定のファイルをチェック対象にする場合、ファイル名の後に$をつけます。
[root@server ~]# diff -Nur /etc/aide.conf.org /etc/aide.conf --- /etc/aide.conf.org 2022-06-26 07:09:58.051229926 -0400 +++ /etc/aide.conf 2022-06-26 09:00:52.349211300 -0400 @@ -87,6 +87,7 @@ DATAONLY = p+n+u+g+s+acl+selinux+xattrs+sha512 # Next decide what directories/files you want in the database. +/test/aa.txt$ s /boot CONTENT_EX /opt CONTENT
10.2 事前準備
テスト用のファイルを2つ作成します。
[root@server ~]# echo 12345 > /test/aa.txt [root@server ~]# echo 12345 > /test/bb.txt
ファイルサイズを確認します。それぞれ6バイトであることがわかります。
[root@server ~]# ls -l /test/* -rw-rw-rw-. 1 root root 6 6月 26 08:54 /test/aa.txt -rw-r--r--. 1 root root 6 6月 26 08:54 /test/bb.txt
10.3 データベース初期化
/test配下の情報をデータベースに登録します。
[root@server ~]# aide -i --limit=/test
Start timestamp: 2022-06-26 08:55:27 -0400 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz
Limit: /test
Number of entries: 0
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db.new.gz
MD5 : mZErF6fEeiGDWhBS/vXMEw==
SHA1 : Fu519gbIwJuhJGp3RdZcW3BCsD8=
RMD160 : VL2HDmnEcoG61J5yWEBDLJYc+p8=
TIGER : Zhu4RqzEscpW9XSo18nO66Xr57BtLLcN
SHA256 : uT95XevmBGqQ2N9VABhuP+8UnecUdfkj
ba0NI3M59AQ=
SHA512 : qupMv5oC+CwIcINZTqyqIKT1iMQD5XT5
p5j09N3KblR6bH5MjomMZ2Bs8524mfGd
t/AcMyGaLs+tO+yT5XuWlw==
End timestamp: 2022-06-26 08:55:27 -0400 (run time: 0m 0s)[root@server ~]# cp /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
10.4 ファイルサイズの変更
各ファイルのファイルサイズを変更します。
[root@server ~]# echo 1 > /test/aa.txt [root@server ~]# echo 1 > /test/bb.txt
ファイルサイズを確認します。2バイトに変更されたことがわかります。
[root@server ~]# ls -l /test/* -rw-rw-rw-. 1 root root 2 6月 26 08:56 /test/aa.txt -rw-r--r--. 1 root root 2 6月 26 08:56 /test/bb.txt
10.5 改ざんチェック
/test配下のファイルサイズの変更をチェックをします。aa.txtのファイルサイズが変更された旨のメッセージは出力されていますが、bb.txtのファイルサイズ変更のメッセージは出力されていないことがわかります。
[root@server ~]# aide -C --limit=/test
Start timestamp: 2022-06-26 09:01:59 -0400 (AIDE 0.16)
AIDE found differences between database and filesystem!!
Limit: /test
Summary:
Total number of entries: 1
Added entries: 0
Removed entries: 0
Changed entries: 1
---------------------------------------------------
Changed entries:
---------------------------------------------------
f < : /test/aa.txt
---------------------------------------------------
Detailed information about changes:
---------------------------------------------------
File: /test/aa.txt
Size : 6 | 2
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db.gz
MD5 : Geh32xwbL1oj3f64oTOyXQ==
SHA1 : klCEJ18PUMppLQa+v+OcfdDe5sc=
RMD160 : jRjZ5PHqHcyb/ZwjJSCLAPBy87o=
TIGER : jWwk9ycxi4DQ12LzTkH2LlFSj67Mhs7m
SHA256 : D4JEuKIuAaYSqvRhMFjZg1jDVSycYold
mg5zMreGT6w=
SHA512 : pQPc73MgdVam3MRSPd4PUmauowtKn7LL
usfDabApG/VayBpP54bdTpwrgaooYqh0
4lMhyRBN4NtIQUlGXzHJnw==
End timestamp: 2022-06-26 09:01:59 -0400 (run time: 0m 0s)
11 ログファイルの格納場所
aideの実行結果は、/var/log/aide/aide.logに保存されます。
[root@server ~]# cat /var/log/aide/aide.log
Start timestamp: 2022-06-26 09:01:59 -0400 (AIDE 0.16)
AIDE found differences between database and filesystem!!
Limit: /test
Summary:
Total number of entries: 1
Added entries: 0
Removed entries: 0
Changed entries: 1
---------------------------------------------------
Changed entries:
---------------------------------------------------
f < : /test/aa.txt
---------------------------------------------------
Detailed information about changes:
---------------------------------------------------
File: /test/aa.txt
Size : 6 | 2
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db.gz
MD5 : Geh32xwbL1oj3f64oTOyXQ==
SHA1 : klCEJ18PUMppLQa+v+OcfdDe5sc=
RMD160 : jRjZ5PHqHcyb/ZwjJSCLAPBy87o=
TIGER : jWwk9ycxi4DQ12LzTkH2LlFSj67Mhs7m
SHA256 : D4JEuKIuAaYSqvRhMFjZg1jDVSycYold
mg5zMreGT6w=
SHA512 : pQPc73MgdVam3MRSPd4PUmauowtKn7LL
usfDabApG/VayBpP54bdTpwrgaooYqh0
4lMhyRBN4NtIQUlGXzHJnw==
End timestamp: 2022-06-26 09:01:59 -0400 (run time: 0m 0s)
Z 参考情報
私が業務や記事執筆で参考にした書籍を以下のページに記載します。
Linux技術のスキルアップをしよう! - hana_shinのLinux技術ブログ
