De acordo com as Leis 12.965/2014 e 13.709/2018, que regulam o uso da Internet e o tratamento de dados pessoais no Brasil, ao me inscrever na newsletter do portal DICAS-L, autorizo o envio de notificações por e-mail ou outros meios e declaro estar ciente e concordar com seus Termos de Uso e Política de Privacidade.
Colaboração: Danillo F. Aquino
Data de Publicação: 06 de agosto de 2012
O AIDE (Advanced Intrusion Detection Environment), trata-se de um HIDS (Host Intrusion Detection System), uma ferramenta utilizada para garantir a integridade dos arquivos do seu servidor. Quando rodado pela primeira vez o aplicativo gera, por meio de cálculos matemáticos, uma base de dados com a assinatura dos arquivos. Desta forma, qualquer alteração em seus arquivos o AIDE é capaz de detectar e notificar o administrador.
Site do AIDE: http://aide.sourceforge.net/
A sua instalação no CentOS é bem simples, basta executar o comando abaixo:
yum -y install aide
Depois de feita a instalação, devemos inicializar o aplicativo para que ele possa gerar a base de dados do nosso sistema:
[root@srv-fw ~]# aide -i
Caso você esteja com o "SELinux" desabilitado, você vera uma mensagens parecidas com a do exemplo:
lgetfilecon_raw failed for /etc/nscd.conf:No data available lgetfilecon_raw failed for /etc/auto.master:No data available lgetfilecon_raw failed for /etc/mail:No data available lgetfilecon_raw failed for /etc/aliases.db:No data available lgetfilecon_raw failed for /etc/auto.smb:No data available lgetfilecon_raw failed for /etc/auto.net:No data available lgetfilecon_raw failed for /etc/lsb-release.d:No data available
Nesse caso configure o "/etc/aide.conf", igual ao exemplo abaixo:
define DBDIR /var/lib/aide
define LOGDIR /var/log/aide database=file:
{DBDIR}/aide.db.gz database_out=file:
{DBDIR}/aide.db.new.gz gzip_dbout=yes verbose=5 report_url=file:
{LOGDIR}/aide.log report_url=stdout ALLXTRAHASHES = sha1+rmd160+sha256+sha512+tiger EVERYTHING = p+i+n+u+g+s+m+c+acl+xattrs+md5+ALLXTRAHASHES NORMAL = p+i+n+u+g+s+m+c+acl+xattrs+md5+rmd160+sha256 DIR = p+i+n+u+g+acl+xattrs PERMS = p+i+u+g+acl LOG = p+u+g+i+n+S+acl+xattrs LSPP = p+i+n+u+g+s+m+c+acl+xattrs+md5+sha256 DATAONLY = p+n+u+g+s+acl+xattrs+md5+sha256+rmd160+tiger /boot NORMAL /bin NORMAL /sbin NORMAL /lib NORMAL /opt NORMAL /usr NORMAL /root NORMAL !/usr/src !/usr/tmp /etc PERMS !/etc/mtab !/etc/.*~ /etc/exports NORMAL /etc/fstab NORMAL /etc/passwd NORMAL /etc/group NORMAL /etc/gshadow NORMAL /etc/shadow NORMAL /etc/security/opasswd NORMAL /etc/hosts.allow NORMAL /etc/hosts.deny NORMAL /etc/sudoers NORMAL /etc/skel NORMAL /etc/logrotate.d NORMAL /etc/resolv.conf DATAONLY /etc/nscd.conf NORMAL /etc/securetty NORMAL /etc/profile NORMAL /etc/bashrc NORMAL /etc/bash_completion.d/ NORMAL /etc/login.defs NORMAL /etc/zprofile NORMAL /etc/zshrc NORMAL /etc/zlogin NORMAL /etc/zlogout NORMAL /etc/profile.d/ NORMAL /etc/X11/ NORMAL /etc/yum.conf NORMAL /etc/yumex.conf NORMAL /etc/yumex.profiles.conf NORMAL /etc/yum/ NORMAL /etc/yum.repos.d/ NORMAL /var/log LOG /var/run/utmp LOG !/var/log/sa !/var/log/aide.log /etc/audit/ LSPP /etc/libaudit.conf LSPP /usr/sbin/stunnel LSPP /var/spool/at LSPP /etc/at.allow LSPP /etc/at.deny LSPP /etc/cron.allow LSPP /etc/cron.deny LSPP /etc/cron.d/ LSPP /etc/cron.daily/ LSPP /etc/cron.hourly/ LSPP /etc/cron.monthly/ LSPP /etc/cron.weekly/ LSPP /etc/crontab LSPP /var/spool/cron/root LSPP /etc/login.defs LSPP /etc/securetty LSPP /var/log/faillog LSPP /var/log/lastlog LSPP /etc/hosts LSPP /etc/sysconfig LSPP /etc/inittab LSPP /etc/grub/ LSPP /etc/rc.d LSPP /etc/ld.so.conf LSPP /etc/localtime LSPP /etc/sysctl.conf LSPP /etc/modprobe.conf LSPP /etc/pam.d LSPP /etc/security LSPP /etc/aliases LSPP /etc/postfix LSPP /etc/ssh/sshd_config LSPP /etc/ssh/ssh_config LSPP /etc/stunnel LSPP /etc/vsftpd.ftpusers LSPP /etc/vsftpd LSPP /etc/issue LSPP /etc/issue.net LSPP /etc/cups LSPP !/var/log/and-httpd /root/.* PERMS
Com o novo arquivo podemos inicializar o AIDE para quele possa gerar nossa base com as informações do sistema:
# aide -i
O comando acima pode demorar um pouco, pois nesse momento esta sendo gerada uma base com a assinatura dos arquivos do seu sistema. Ao final será exibida a seguinte mensagem:
AIDE, version 0.13.1 ### AIDE database at /var/lib/aide/aide.db.new.gz initialized.
Agora vamos renomear e copiar essa base para o seguinte diretorio:
# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Para verificar alterações em seus arquivos utilize o seguinte comando:
# aide -C
Escrito utilizando AIDE 0.13.1 + CentOS 5.8-x64.
Blog do autor
This policy contains information about your privacy. By posting, you are declaring that you understand this policy:
This policy is subject to change at any time and without notice.
These terms and conditions contain rules about posting comments. By submitting a comment, you are declaring that you agree with these rules:
Failure to comply with these rules may result in being banned from submitting further comments.
These terms and conditions are subject to change at any time and without notice.
Comentários