De acordo com as Leis 12.965/2014 e 13.709/2018, que regulam o uso da Internet e o tratamento de dados pessoais no Brasil, ao me inscrever na newsletter do portal DICAS-L, autorizo o envio de notificações por e-mail ou outros meios e declaro estar ciente e concordar com seus Termos de Uso e Política de Privacidade.

Monitorando seu CentOS com AIDE.

Colaboração: Danillo F. Aquino

Data de Publicação: 06 de agosto de 2012

O AIDE (Advanced Intrusion Detection Environment), trata-se de um HIDS (Host Intrusion Detection System), uma ferramenta utilizada para garantir a integridade dos arquivos do seu servidor. Quando rodado pela primeira vez o aplicativo gera, por meio de cálculos matemáticos, uma base de dados com a assinatura dos arquivos. Desta forma, qualquer alteração em seus arquivos o AIDE é capaz de detectar e notificar o administrador.

Site do AIDE: http://aide.sourceforge.net/

A sua instalação no CentOS é bem simples, basta executar o comando abaixo:

  yum -y install aide

Depois de feita a instalação, devemos inicializar o aplicativo para que ele possa gerar a base de dados do nosso sistema:

  [root@srv-fw ~]# aide -i

Caso você esteja com o "SELinux" desabilitado, você vera uma mensagens parecidas com a do exemplo:

  lgetfilecon_raw failed for /etc/nscd.conf:No data available
  lgetfilecon_raw failed for /etc/auto.master:No data available
  lgetfilecon_raw failed for /etc/mail:No data available
  lgetfilecon_raw failed for /etc/aliases.db:No data available
  lgetfilecon_raw failed for /etc/auto.smb:No data available
  lgetfilecon_raw failed for /etc/auto.net:No data available
  lgetfilecon_raw failed for /etc/lsb-release.d:No data available

Nesse caso configure o "/etc/aide.conf", igual ao exemplo abaixo:

  
define DBDIR /var/lib/aide
define LOGDIR /var/log/aide database=file:
{DBDIR}/aide.db.gz database_out=file:
{DBDIR}/aide.db.new.gz gzip_dbout=yes verbose=5 report_url=file:
{LOGDIR}/aide.log report_url=stdout ALLXTRAHASHES = sha1+rmd160+sha256+sha512+tiger EVERYTHING = p+i+n+u+g+s+m+c+acl+xattrs+md5+ALLXTRAHASHES NORMAL = p+i+n+u+g+s+m+c+acl+xattrs+md5+rmd160+sha256 DIR = p+i+n+u+g+acl+xattrs PERMS = p+i+u+g+acl LOG = p+u+g+i+n+S+acl+xattrs LSPP = p+i+n+u+g+s+m+c+acl+xattrs+md5+sha256 DATAONLY = p+n+u+g+s+acl+xattrs+md5+sha256+rmd160+tiger /boot NORMAL /bin NORMAL /sbin NORMAL /lib NORMAL /opt NORMAL /usr NORMAL /root NORMAL !/usr/src !/usr/tmp /etc PERMS !/etc/mtab !/etc/.*~ /etc/exports NORMAL /etc/fstab NORMAL /etc/passwd NORMAL /etc/group NORMAL /etc/gshadow NORMAL /etc/shadow NORMAL /etc/security/opasswd NORMAL /etc/hosts.allow NORMAL /etc/hosts.deny NORMAL /etc/sudoers NORMAL /etc/skel NORMAL /etc/logrotate.d NORMAL /etc/resolv.conf DATAONLY /etc/nscd.conf NORMAL /etc/securetty NORMAL /etc/profile NORMAL /etc/bashrc NORMAL /etc/bash_completion.d/ NORMAL /etc/login.defs NORMAL /etc/zprofile NORMAL /etc/zshrc NORMAL /etc/zlogin NORMAL /etc/zlogout NORMAL /etc/profile.d/ NORMAL /etc/X11/ NORMAL /etc/yum.conf NORMAL /etc/yumex.conf NORMAL /etc/yumex.profiles.conf NORMAL /etc/yum/ NORMAL /etc/yum.repos.d/ NORMAL /var/log LOG /var/run/utmp LOG !/var/log/sa !/var/log/aide.log /etc/audit/ LSPP /etc/libaudit.conf LSPP /usr/sbin/stunnel LSPP /var/spool/at LSPP /etc/at.allow LSPP /etc/at.deny LSPP /etc/cron.allow LSPP /etc/cron.deny LSPP /etc/cron.d/ LSPP /etc/cron.daily/ LSPP /etc/cron.hourly/ LSPP /etc/cron.monthly/ LSPP /etc/cron.weekly/ LSPP /etc/crontab LSPP /var/spool/cron/root LSPP /etc/login.defs LSPP /etc/securetty LSPP /var/log/faillog LSPP /var/log/lastlog LSPP /etc/hosts LSPP /etc/sysconfig LSPP /etc/inittab LSPP /etc/grub/ LSPP /etc/rc.d LSPP /etc/ld.so.conf LSPP /etc/localtime LSPP /etc/sysctl.conf LSPP /etc/modprobe.conf LSPP /etc/pam.d LSPP /etc/security LSPP /etc/aliases LSPP /etc/postfix LSPP /etc/ssh/sshd_config LSPP /etc/ssh/ssh_config LSPP /etc/stunnel LSPP /etc/vsftpd.ftpusers LSPP /etc/vsftpd LSPP /etc/issue LSPP /etc/issue.net LSPP /etc/cups LSPP !/var/log/and-httpd /root/.* PERMS

Com o novo arquivo podemos inicializar o AIDE para quele possa gerar nossa base com as informações do sistema:

  # aide -i

O comando acima pode demorar um pouco, pois nesse momento esta sendo gerada uma base com a assinatura dos arquivos do seu sistema. Ao final será exibida a seguinte mensagem:

  AIDE, version 0.13.1
  ### AIDE database at /var/lib/aide/aide.db.new.gz initialized.

Agora vamos renomear e copiar essa base para o seguinte diretorio:

  # mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Para verificar alterações em seus arquivos utilize o seguinte comando:

  # aide -C

Escrito utilizando AIDE 0.13.1 + CentOS 5.8-x64.

Blog do autor

Adicionar comentário

* Campos obrigatórios
5000
Powered by Commentics

Comentários

Nenhum comentário ainda. Seja o primeiro!


Veja a relação completa dos artigos de Danillo F. Aquino