Aide

AIDE (Advanced Intrusion Detection Environment)
Información sobre la plantilla
Aide1software.jpg
Chequea la integridad de archivos y directorios.
CreadorRami Lehti y Pablo Virolainen
Lanzamiento inicialAño 1999
Última versión estable0.15.1
Sistemas Operativos compatiblesUNIX, GNU/Linux.
LicenciaGPL
Sitio web
Sitio oficial
AIDE. Es un sistema de detección de intrusos basado en host (HIDS, Host-Based Intrusion Detection System). Los HIDS se usan para detectar cambios en los ficheros de configuración y binarios importantes, generalmente generando un resumen cifrado ("hash") único de los ficheros a ser verificados, y almacenándolos en un lugar seguro. Con un procedimiento regular (tal que una vez al día), los resúmenes "buenos" se comparan con los generados a partir de la copia actual de cada fichero, para determinar si el fichero ha cambiado. Los HIDS son una gran herramienta para detectar cambios no permitidos en un sistema, pero necesitan un poco de trabajo para implementarlos adecuadamente y hacer un buen uso de ellos.

Características

  • Soporta algoritmos de resumen de mensajes: md5, sha1, rmd160, el tigre, crc32, SHA256, SHA512, jacuzzi (adicionalmente con libmhash: gost, Haval, crc32b).
  • Soporta atributos de archivo: Tipo de archivo, permisos, inode, UID, GID, nombre de enlace, tamaño, número de bloque, el número de enlaces, Mtime (creado), Ctime (modificado) y Atime (acceso).
  • Soporte para POSIX ACL, SELinux, Xattrs.
  • Archivos de configuración de texto sin formato y base de datos sencilla.
  • Potente soporte para expresiones regulares para incluir o excluir de forma selectiva los archivos y directorios a ser monitoreados
  • Compresión [gzip] de la base de datos.
  • Independiente binario estático para una fácil configuración de supervisión de cliente/servidor

Distribuciones

AIDE se encuentra incluido en las siguientes distribuciones:

Debian, Ubuntu, Gentoo, MacPorts, FreeBSD, RedHat, Fedora, CentOS, OpenSuse e IpCop.

Plataformas

Se ejecuta en cualquier plataforma moderna basada en Unix. Algunas de las plataformas que personas han probado (compilando con las opciones estándar) son:

  • Linux 2.6.
  • Solaris 10/OpenSolaris.
  • Mac OS X Leopard.
  • FreeBSD 2.2.8,3.4.
  • Unixware 7.0.1.
  • BSDi 4.1.
  • OpenBSD 2.6,3.0.
  • AIX 4.2.
  • TRU64 4.0x.
  • HP-UX 11i Cygwin.

Configuración

  • El archivo de configuración: etc/aide/aide.conf
    • Ejemplo de configuración del archivo aide.conf
      • @@ifndef TOPDIR
      • @@define TOPDIR /
      • @@endif
      • @@ifndef AIDEDIR
      • @@define AIDEDIR /etc/aide
      • @@endif
      • @@ifhost smbserv
      • @@define smbactive
      • @@endif
  • La ubicación de la base de datos a ser leída:
    • database=file:@@{AIDEDIR}/aide.db
  • La ubicación de la base de datos donde escribir:
    • database_out=file:aide.db.new
    • verbose=20
    • report_url=stdout
  • Definición de reglas
    • All=R+a+sha1+rmd160
    • Norm=s+n+b+md5+sha1+rmd160
    • @@{TOPDIR} Norm
    • !@@{TOPDIR}etc/aide
    • !@@{TOPDIR}dev
    • !@@{TOPDIR}media
    • !@@{TOPDIR}mnt
    • !@@{TOPDIR}proc
    • !@@{TOPDIR}root
    • !@@{TOPDIR}sys
    • !@@{TOPDIR}tmp
    • !@@{TOPDIR}var/log
    • !@@{TOPDIR}var/run
    • !@@{TOPDIR}usr/portage
    • @@ifdef smbactive
    • !@@{TOPDIR}etc/smb/private/secrets.tdb
    • @@endif
    • =@@{TOPDIR}home Norm

Fuentes

Obtenido de «https://www.ecured.cu/index.php?title=Aide&oldid=1015977»