Aide es programa de deteccion de intrusos basado en host el cual reemplaza el conocido Tripwire (chequeador de integridad). Este provee software para chequear la integridad y puede encontrar cambios en binarios modificados.
Es posible instalarlo en un sistema online y en produccion. Si es posible debe configurarlo antes de conectar el sistema en cualquier red. AIDE es un HIDS (Sistema de Deteccion de Intrusos basado en host) que puede monitorear y analizar el interior de un sistema.
Instalacion:
#apt-get update && apt-get upgrade
#apt-get install aide
Configuracion:
Usted puede modificarlo en /etc/aide/aide.conf como quiera, igualmente la config por defecto es aceptable para algunos systemas.
/etc/aide/aide.conf y /etc/aide/aide.conf.d <- Son los archivos de config
/var/lib/aide/aide.db <- Ubicacion de las BD de aide
/var/lib/aide-aide.db.new <- Ubicacion de la nueva BD creada
El comando aideinit crea una nueva BD de AIDE. Esta iniciara una BD en la ubicacion por defecto: database_out (definido en el aide.conf).
Generamos la BD:
#aideinit
Instalamos la nueva BD:
#cp /var/lib/aide/aide.db.new /var/lib/aide/aide.db
Corremos un chequeo manual:
#aide -c /etc/aide/aide.conf --check
Ahora necesita mover la BD y los archivos de configuracion (aide.conf) a un lugar seguro (Read-only). Si un atacante puede modificar el binario, la BD o el archivo de configuracion obviamente tendremos al intruso y no nos daremos cuenta, asi que podremos mover estos en un CD-ROM y poder usuarlos para chequear (no podran ser modificados). Tambien podremos usar hashes de dichos archivos.
Los movemos a un lugar seguro:
#scp /var/lib/aide/aide.db* /usr/bin/aide /etc/aide/aide.conf /etc/aide/aide.conf.d/* usuario@ip-otro-server:/ruta
Podemos usar herramientas como cdrecord para copiarlos en CD:
http://www.cyberciti.biz/tips/how-do-i-write-cd-at-debain-linux-command-prompt.html
Ahora comprobaremos si realmente funciona...
Modificamos un archivo:
#vim /bin/ping(hacemos una copia antes para no perder el verdadero binario y luego modificamos algo dentro del original)
Ejecutamos el chequeo:
#aide -c /etc/aide/aide.conf --check
Por defecto AIDE se instala en /etc/cron.daily/aide, donde se ejecutara automaticamente diariamente. Si algun archivo o binario del sistema es modificado recibira un mail (por defecto root, pero puede modificarse en el archivo aide.conf editando la variable: MAILTO)
#vim /etc/default/aide
MAILTO=lalo@landa.com
AIDE enviar un mail indicando de una posible modificacion del sistema. Sin embargo algunas veces usted actualiza su sistema y cambia la configuracion con algun update. Los siguientes pasos deben ser repetidos cuando la configuracion cambia http://www.blogger.com/img/blank.gifo se necesita una actualizacion de algo en su sistema:
#aideinit
#cp /var/lib/aide/aide.db.new /var/lib/aide/aide.db
#aide -c /etc/aide/aide.conf --check
Finalmente, movemos los archivos (BD, binarios y archivos de configuracion) a un lugar de solo lectura fuera de dicho servidor.
FUENTE: http://www.cyberciti.biz/faq/debian-ubuntu-linux-software-integrity-checking-with-aide/
No hay comentarios:
Publicar un comentario