Aide
|
AIDE. Es un sistema de detección de intrusos basado en host (HIDS, Host-Based Intrusion Detection System). Los HIDS se usan para detectar cambios en los ficheros de configuración y binarios importantes, generalmente generando un resumen cifrado ("hash") único de los ficheros a ser verificados, y almacenándolos en un lugar seguro. Con un procedimiento regular (tal que una vez al día), los resúmenes "buenos" se comparan con los generados a partir de la copia actual de cada fichero, para determinar si el fichero ha cambiado. Los HIDS son una gran herramienta para detectar cambios no permitidos en un sistema, pero necesitan un poco de trabajo para implementarlos adecuadamente y hacer un buen uso de ellos.
Características
- Soporta algoritmos de resumen de mensajes: md5, sha1, rmd160, el tigre, crc32, SHA256, SHA512, jacuzzi (adicionalmente con libmhash: gost, Haval, crc32b).
- Soporta atributos de archivo: Tipo de archivo, permisos, inode, UID, GID, nombre de enlace, tamaño, número de bloque, el número de enlaces, Mtime (creado), Ctime (modificado) y Atime (acceso).
- Soporte para POSIX ACL, SELinux, Xattrs.
- Archivos de configuración de texto sin formato y base de datos sencilla.
- Potente soporte para expresiones regulares para incluir o excluir de forma selectiva los archivos y directorios a ser monitoreados
- Compresión [gzip] de la base de datos.
- Independiente binario estático para una fácil configuración de supervisión de cliente/servidor
Distribuciones
AIDE se encuentra incluido en las siguientes distribuciones:
Debian, Ubuntu, Gentoo, MacPorts, FreeBSD, RedHat, Fedora, CentOS, OpenSuse e IpCop.
Plataformas
Básicamente AIDE se ejecuta en cualquier plataforma moderna basada en Unix. A continuación se muestra algunas de las plataformas que personas ha probado (compilando con las opciones estándar).
Linux 2.6, Solaris 10/OpenSolaris, Mac OS X Leopard, FreeBSD 2.2.8,3.4, Unixware 7.0.1, BSDi 4.1, OpenBSD 2.6,3.0, AIX 4.2, TRU64 4.0x, HP-UX 11i Cygwin
Configuración
El archivo de configuración: etc/aide/aide.conf
Ejemplo de configuración del archivo aide.conf
@@ifndef TOPDIR @@define TOPDIR / @@endif @@ifndef AIDEDIR @@define AIDEDIR /etc/aide @@endif @@ifhost smbserv @@define smbactive @@endif
- La ubicación de la base de datos a ser leída
database=file:@@{AIDEDIR}/aide.db
- La ubicación de la base de datos donde escribir
database_out=file:aide.db.new verbose=20 report_url=stdout
- Definición de reglas
All=R+a+sha1+rmd160 Norm=s+n+b+md5+sha1+rmd160 @@{TOPDIR} Norm !@@{TOPDIR}etc/aide !@@{TOPDIR}dev !@@{TOPDIR}media !@@{TOPDIR}mnt !@@{TOPDIR}proc !@@{TOPDIR}root !@@{TOPDIR}sys !@@{TOPDIR}tmp !@@{TOPDIR}var/log !@@{TOPDIR}var/run !@@{TOPDIR}usr/portage @@ifdef smbactive !@@{TOPDIR}etc/smb/private/secrets.tdb @@endif =@@{TOPDIR}home Norm
Fuentes
AIDE [1]
Detección de intrusos [2]