Visite também: Ipok · Segurança Linux · UnderLinux · VivaOLinux · LinuxSecurity · NoticiasLinux · BR-Linux · SoftwareLivre.org · [mais]

Você está aqui: Home → Arquivo Dicas-L

Lan University - Certificações e Qualificações em TI

Assine a Lista Dicas-L

Receba diariamente por email as dicas
de informática publicadas neste site
Para se descadastrar, clique aqui.

Monitorando seu CentOS com AIDE.

Colaboração: Danillo F. Aquino

Data de Publicação: 06 de agosto de 2012

O AIDE (Advanced Intrusion Detection Environment), trata-se de um HIDS (Host Intrusion Detection System), uma ferramenta utilizada para garantir a integridade dos arquivos do seu servidor. Quando rodado pela primeira vez o aplicativo gera, por meio de cálculos matemáticos, uma base de dados com a assinatura dos arquivos. Desta forma, qualquer alteração em seus arquivos o AIDE é capaz de detectar e notificar o administrador.

Site do AIDE: http://aide.sourceforge.net/

A sua instalação no CentOS é bem simples, basta executar o comando abaixo:

  yum -y install aide

Depois de feita a instalação, devemos inicializar o aplicativo para que ele possa gerar a base de dados do nosso sistema:

  [root@srv-fw ~]# aide -i

Caso você esteja com o "SELinux" desabilitado, você vera uma mensagens parecidas com a do exemplo:

  lgetfilecon_raw failed for /etc/nscd.conf:No data available
  lgetfilecon_raw failed for /etc/auto.master:No data available
  lgetfilecon_raw failed for /etc/mail:No data available
  lgetfilecon_raw failed for /etc/aliases.db:No data available
  lgetfilecon_raw failed for /etc/auto.smb:No data available
  lgetfilecon_raw failed for /etc/auto.net:No data available
  lgetfilecon_raw failed for /etc/lsb-release.d:No data available

Nesse caso configure o "/etc/aide.conf", igual ao exemplo abaixo:

  
define DBDIR /var/lib/aide
  
define LOGDIR /var/log/aide
  database=file:
{DBDIR}/aide.db.gz
  database_out=file:
{DBDIR}/aide.db.new.gz
  gzip_dbout=yes
  verbose=5
  report_url=file:
{LOGDIR}/aide.log
  report_url=stdout
  ALLXTRAHASHES = sha1+rmd160+sha256+sha512+tiger
  EVERYTHING = p+i+n+u+g+s+m+c+acl+xattrs+md5+ALLXTRAHASHES
  NORMAL = p+i+n+u+g+s+m+c+acl+xattrs+md5+rmd160+sha256
  DIR = p+i+n+u+g+acl+xattrs
  PERMS = p+i+u+g+acl
  LOG = p+u+g+i+n+S+acl+xattrs
  LSPP = p+i+n+u+g+s+m+c+acl+xattrs+md5+sha256
  DATAONLY = p+n+u+g+s+acl+xattrs+md5+sha256+rmd160+tiger
  /boot NORMAL
  /bin NORMAL
  /sbin NORMAL
  /lib NORMAL
  /opt NORMAL
  /usr NORMAL
  /root NORMAL
  !/usr/src
  !/usr/tmp
  /etc PERMS
  !/etc/mtab
  !/etc/.*~
  /etc/exports NORMAL
  /etc/fstab NORMAL
  /etc/passwd NORMAL
  /etc/group NORMAL
  /etc/gshadow NORMAL
  /etc/shadow NORMAL
  /etc/security/opasswd NORMAL
  /etc/hosts.allow NORMAL
  /etc/hosts.deny NORMAL
  /etc/sudoers NORMAL
  /etc/skel NORMAL
  /etc/logrotate.d NORMAL
  /etc/resolv.conf DATAONLY
  /etc/nscd.conf NORMAL
  /etc/securetty NORMAL
  /etc/profile NORMAL
  /etc/bashrc NORMAL
  /etc/bash_completion.d/ NORMAL
  /etc/login.defs NORMAL
  /etc/zprofile NORMAL
  /etc/zshrc NORMAL
  /etc/zlogin NORMAL
  /etc/zlogout NORMAL
  /etc/profile.d/ NORMAL
  /etc/X11/ NORMAL
  /etc/yum.conf NORMAL
  /etc/yumex.conf NORMAL
  /etc/yumex.profiles.conf NORMAL
  /etc/yum/ NORMAL
  /etc/yum.repos.d/ NORMAL
  /var/log LOG
  /var/run/utmp LOG
  !/var/log/sa
  !/var/log/aide.log
  /etc/audit/ LSPP
  /etc/libaudit.conf LSPP
  /usr/sbin/stunnel LSPP
  /var/spool/at LSPP
  /etc/at.allow LSPP
  /etc/at.deny LSPP
  /etc/cron.allow LSPP
  /etc/cron.deny LSPP
  /etc/cron.d/ LSPP
  /etc/cron.daily/ LSPP
  /etc/cron.hourly/ LSPP
  /etc/cron.monthly/ LSPP
  /etc/cron.weekly/ LSPP
  /etc/crontab LSPP
  /var/spool/cron/root LSPP
  /etc/login.defs LSPP
  /etc/securetty LSPP
  /var/log/faillog LSPP
  /var/log/lastlog LSPP
  /etc/hosts LSPP
  /etc/sysconfig LSPP
  /etc/inittab LSPP
  /etc/grub/ LSPP
  /etc/rc.d LSPP
  /etc/ld.so.conf LSPP
  /etc/localtime LSPP
  /etc/sysctl.conf LSPP
  /etc/modprobe.conf LSPP
  /etc/pam.d LSPP
  /etc/security LSPP
  /etc/aliases LSPP
  /etc/postfix LSPP
  /etc/ssh/sshd_config LSPP
  /etc/ssh/ssh_config LSPP
  /etc/stunnel LSPP
  /etc/vsftpd.ftpusers LSPP
  /etc/vsftpd LSPP
  /etc/issue LSPP
  /etc/issue.net LSPP
  /etc/cups LSPP
  !/var/log/and-httpd
  /root/.* PERMS

Com o novo arquivo podemos inicializar o AIDE para quele possa gerar nossa base com as informações do sistema:

  # aide -i

O comando acima pode demorar um pouco, pois nesse momento esta sendo gerada uma base com a assinatura dos arquivos do seu sistema. Ao final será exibida a seguinte mensagem:

  AIDE, version 0.13.1
  ### AIDE database at /var/lib/aide/aide.db.new.gz initialized.

Agora vamos renomear e copiar essa base para o seguinte diretorio:

  # mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Para verificar alterações em seus arquivos utilize o seguinte comando:

  # aide -C

Escrito utilizando AIDE 0.13.1 + CentOS 5.8-x64.

Blog do autor

Veja a relação completa dos artigos de Danillo F. Aquino


PDF	RSS	Imprimir

Referências Adicionais

Referências adicionais sobre os assuntos abordados neste site podem ser encontradas em nossa Bibliografia.

Avalie esta dica

Currently 2.99/5
1
2
3
4
5

Avaliação: 3.0 /5 (476 votos)

Opinião dos Leitores

Seja o primeiro a comentar este artigo

Expressões Regulares – Uma Abordagem Divertida - 4ª edição

Inversão de URLs

*Nome:
Email:
	Me notifique sobre novos comentários nessa página Oculte meu email
*Texto:

	Para publicar seu comentário, digite o código contido na imagem acima