Aide

AIDE (Advanced Intrusion Detection Environment)
Información sobre la plantilla
Aide1software.jpg
Chequea la integridad de archivos y directorios.
CreadorRami Lehti y Pablo Virolainen
Lanzamiento inicialAño 1999
Última versión estable0.15.1
Sistemas Operativos compatiblesUNIX, GNU/Linux.
LicenciaGPL
Sitio web
Sitio oficial

AIDE. Es un sistema de detección de intrusos basado en host (HIDS, Host-Based Intrusion Detection System). Los HIDS se usan para detectar cambios en los ficheros de configuración y binarios importantes, generalmente generando un resumen cifrado ("hash") único de los ficheros a ser verificados, y almacenándolos en un lugar seguro. Con un procedimiento regular (tal que una vez al día), los resúmenes "buenos" se comparan con los generados a partir de la copia actual de cada fichero, para determinar si el fichero ha cambiado. Los HIDS son una gran herramienta para detectar cambios no permitidos en un sistema, pero necesitan un poco de trabajo para implementarlos adecuadamente y hacer un buen uso de ellos.

Características

  • Soporta algoritmos de resumen de mensajes: md5, sha1, rmd160, el tigre, crc32, SHA256, SHA512, jacuzzi (adicionalmente con libmhash: gost, Haval, crc32b).
  • Soporta atributos de archivo: Tipo de archivo, permisos, inode, UID, GID, nombre de enlace, tamaño, número de bloque, el número de enlaces, Mtime (creado), Ctime (modificado) y Atime (acceso).
  • Soporte para POSIX ACL, SELinux, Xattrs.
  • Archivos de configuración de texto sin formato y base de datos sencilla.
  • Potente soporte para expresiones regulares para incluir o excluir de forma selectiva los archivos y directorios a ser monitoreados
  • Compresión [gzip] de la base de datos.
  • Independiente binario estático para una fácil configuración de supervisión de cliente/servidor

Distribuciones

AIDE se encuentra incluido en las siguientes distribuciones:

Debian, Ubuntu, Gentoo, MacPorts, FreeBSD, RedHat, Fedora, CentOS, OpenSuse e IpCop.

Plataformas

Básicamente AIDE se ejecuta en cualquier plataforma moderna basada en Unix. A continuación se muestra algunas de las plataformas que personas ha probado (compilando con las opciones estándar).

Linux 2.6, Solaris 10/OpenSolaris, Mac OS X Leopard, FreeBSD 2.2.8,3.4, Unixware 7.0.1, BSDi 4.1, OpenBSD 2.6,3.0, AIX 4.2, TRU64 4.0x, HP-UX 11i Cygwin

Configuración

El archivo de configuración: etc/aide/aide.conf

Ejemplo de configuración del archivo aide.conf

@@ifndef TOPDIR @@define TOPDIR / @@endif @@ifndef AIDEDIR @@define AIDEDIR /etc/aide @@endif @@ifhost smbserv @@define smbactive @@endif

  1. La ubicación de la base de datos a ser leída

database=file:@@{AIDEDIR}/aide.db

  1. La ubicación de la base de datos donde escribir

database_out=file:aide.db.new verbose=20 report_url=stdout

  1. Definición de reglas

All=R+a+sha1+rmd160 Norm=s+n+b+md5+sha1+rmd160 @@{TOPDIR} Norm !@@{TOPDIR}etc/aide !@@{TOPDIR}dev !@@{TOPDIR}media !@@{TOPDIR}mnt !@@{TOPDIR}proc !@@{TOPDIR}root !@@{TOPDIR}sys !@@{TOPDIR}tmp !@@{TOPDIR}var/log !@@{TOPDIR}var/run !@@{TOPDIR}usr/portage @@ifdef smbactive !@@{TOPDIR}etc/smb/private/secrets.tdb @@endif =@@{TOPDIR}home Norm


Fuentes

AIDE [1]

Detección de intrusos [2]

Obtenido de «https://www.ecured.cu/index.php?title=Aide&oldid=3416105»