AIDE (Español)
Advanced Intrusion Detection Environment (AIDE) es un sistema de detección de intrusos basado en host (HIDS) para comprobar la integridad de los archivos. Lo hace creando una base de datos de archivos en una ejecución inicial, y luego comprueba esta base de datos con el sistema en las siguientes ejecuciones. Las propiedades de los archivos que se pueden comprobar incluyen el inodo, los permisos, la hora de modificación, el contenido del archivo, etc.
AIDE sólo comprueba la integridad de los archivos. No comprueba la existencia de rootkits o analiza los archivos de registro en busca de actividades sospechosas, como sí lo hacen otros HIDS (como por ejemplo OSSEC). Para estas funciones, puede utilizar un HIDS extra (véase [1] para una comparación posiblemente sesgada), o usar escáneres de rootkit standalone (rkhunter, chkrootkit) y soluciones de monitorización de registros (logwatch, logcheck).
Instalación
Instale el paquete aideAUR, o, en su lugar, aide-selinuxAUR si desea utilizarlo en un sistema con SELinux y Audit framework habilitados.
Configuración
El archivo de configuración predeterminado se encuentra en /etc/aide.conf y contiene unos valores por defecto bastante sensatos y está muy comentado. Si desea cambiar las reglas, véase aide.conf(5) y el Manual de AIDE para leer la documentación.
Utilización
Para comprobar su configuración, ejecute la orden aide -D.
Para inicializar la base de datos, ejecute aide -i o aideinit. Dependiendo de su configuración y sistema, esta orden puede tardar un poco en completarse.
Puede comprobar el sistema con la base de datos de referencia mediante aide -C, o actualizar la base de datos de referencia ejecutando aide -u.
Para más información, véase aide(1).
Cron
AIDE puede ser ejecutado manualmente, pero posiblemente desee que se ejecute automáticamente. La forma de configurar esto dependerá de su daemon cron y del MUA (si se desea recibir la notificación por correo electrónico).
Si cron está configurado para enviar automáticamente por correo toda la salida del trabajo, es tan simple como:
#!/bin/bash -e
# estos deben ser los mismos que están definidos en /etc/aide.conf
database=/var/lib/aide/aide.db.gz
database_out=/var/lib/aide/aide.db.new.gz
if [ ! -f "$database" ]; then
echo "$database not found" >&2
exit 1
fi
aide -u || true
mv $database $database.back
mv $database_out $database
Para conocer ejemplos de scripts cron más complicados, véase [2] ó [3].
Seguridad
Dado que la base de datos se almacena en el sistema de archivos raíz, los atacantes pueden modificarla fácilmente para cubrir su rastro si comprometen su sistema. Puede que quiera copiar la base de datos a un medio sin conexión y de sólo lectura y realizar comprobaciones contra esta copia periódicamente.