Monitorización de integridad de sistemas de archivos con AIDE en Debian 9:

AIDE (Advanced Intrusion Detection Environment) es una herramienta de detección de intrusos para verificar la integridad de archivos y directorios. Ésta herramienta crea una base de datos con información importante de los archivos y directorios (nombre, tamaño, fecha de modificación, permisos y un hash del contenido) y luego comprobar periódicamente que no se hayan producido cambios inesperados. Lo ideal es configurar nuestra base de datos AIDE justo tras instalar nuestro sistema.

AIDE se encuentra en los repositorios oficiales de Debian, con lo que podemos instalar su versión 0.16 directamente con apt:

# apt install aide

La configuración de ésta herramienta se encuentra en el archivo

/etc/aide/aide.conf

En el cual definiremos la ubicación dónde almacenar la base de datos y las reglas de monitorización para cada directorio. Viene con una configuración por defecto a la que agregaremos al final del fichero:

defaultRule = p+i+u+g
extendRule = p+i+u+g+s+b+md5+sha256

/home/vagrant defaultRule
/etc extendRule

Para monitorizar sendos directorios, con las reglas que hemos predefinido, la primera revisaría permisos, inodo, usuario y grupo, y la segunda, añadiría la comprobación del tamaño, blockcount y checksum en md5 y sha256

Inicializaremos la base de datos de AIDE con el comando:

# aideinit

Y ya tendremos operativa nuestra base de datos.

Lo ideal, teniendo AIDE, es que nos vaya informando a una cierta hora de los cambios que ha habido en el sistema, y actualice la base de datos para que no se vayan acumulando los cambios, y así tener una noción de lo que ocurre en nuestro sistema.

Para ello (teniendo un servidor de correos instalado) editaremos el fichero de configuración que se comunica con “cron”.

# nano /etc/default/aide

Estableceremos el fichero con los siguientes parámetros.

CRON_DAILY_RUN=yes
MAILSUBJ="Daily AIDE report for $FQDN"
MAILTO=correo@receptor.soy
COMMAND=update
COPYNEWDB=yes
TRUNCATEDETAILS=no
FILTERUPDATES=no
FILTERINSTALLATIONS=no
LINES=1000
NOISE=""
AIDEARGS=""
CRONEXITHOOK=""

Si queremos hacer una prueba, podremos ejecutar cron.daily manualmente

# env -i /etc/cron.daily/aide

Y nos debería llegar un e-mail al correo que habíamos establecido anteriormente, del estilo:

aide-email

Si queremos ver el estado actual de nuestra máquina tenemos los siguientes comandos, los cuales no establecerían la base de datos de AIDE, al estado actual de la máquina.

# aide -c /etc/aide/aide.conf --update
# aide -c /etc/aide/aide.conf --check
Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s