Latest Tweets

AIDE un IDS per Debian

Advanced Intrusion Detection Environment (AIDE) amb llicència GPL.
Ens permetrà conèixer quins canvis hem tingut als fitxers del sistema des d’un punt conegut.
Normalment, això ens permet conèixer l’abast d’un compromis al nostre sistema o recuperar el sistema si tenim qualsevol problema.

Per fer-ho instal·larem el paquet aide.

apt-get install aide

Poc després crearem la base de dades de tots els fitxers que haurem configurat al fitxer /etc/aide/aide.conf

# aide -i

Copiarem la bbdd creada inicialment per la que estarà activa. Es recomanable guardar aquest fitxer en un lloc segur o bé en un dispositiu de només lectura.

cp /var/lib/aide/aide.db.new /var/lib/aide/aide.db

Realitzem una petita prova. Modifiquem la data del fitxer ls. El IDS haurà de detectar que hem tingut canvis.

touch /bin/ls

Podem comprovar com ho indica.

# aide -C
AIDE found differences between database and filesystem!!
Start timestamp: 2009-07-08 15:32:23
 
Summary:
  Total number of files:        2792
  Added files:                  0
  Removed files:                0
  Changed files:                2
 
 
---------------------------------------------------
Changed files:
---------------------------------------------------
 
changed:/etc
changed:/bin/ls
 
--------------------------------------------------
Detailed information about changes:
---------------------------------------------------
 
 
Directory: /etc
  Mtime    : 2009-07-08 15:12:17               , 2009-07-08 15:30:13               
  Ctime    : 2009-07-08 15:12:17               , 2009-07-08 15:30:13               
 
File: /bin/ls
  Mtime    : 2009-07-06 12:31:50               , 2009-07-08 15:29:25               
  Ctime    : 2009-07-06 12:31:50               , 2009-07-08 15:29:25

Podeu trobar més informació:
Oct 15 2009 http://www.howtoforge.com/linux-security-notes-aide-file-integrity