dimecres, de desembre 07, 2005

Proves amb AIDE

Un amic em comenta que ha fet proves amb AIDE (Advanced Intrusion Detection Environment) , i jo que d'aquests tipus d'IDS només he usat el TripWire de RedHat, decideixo provar-lo.

Les proves són fetes amb un Fedora Core 4 i he anat bastant pel dret. Instal.lació:

> yum install aide


Configuració:

> vi /etc/aide.conf


Directives de seguretat importants:
database # La base de dades origen per fer les comprovacions
database_out # La base de dades que es generarà quan inicialitzem (-i) l'aide
report_url # Localotzació dels resultats de la comprovació

(per fer les proves es poden deixar per defecte
per posar-lo en producció un cop connectat a cap xarxa la "database" hauria d'estar preferiblement en un
mitjà de només lectura, de manera que ningú el pogués modificar, per exemple un disquet)

i després els arxius/directoris a comprovar
(per defecte ja inclou les parts "importants" del sistema)

> aide -i (inicialitzar la Base de Dades de l'Aide)

AIDE, version 0.10

### AIDE database initialized.


Ja es pot agafar la Base de Dades que acabem de generar com a "Bona".
Per tant la copiem perque coincideixi amb la del paràmetre anterior "database"

> cp /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

ara ja podem fer una comprovació sense canviar res i una altre canviant al per veure com ho detecta

> aide --check

AIDE, version 0.10

### All files match AIDE database. Looks okay!


ara ja podem fer alguna modificació i que aide ho descubreixi:

> echo "127.0.0.2 google.com" >> /etc/hosts (Afegim un antreda a hosts)
> aide --check

AIDE found differences between database and filesystem!!
Start timestamp: 2005-12-07 19:01:39
Summary:
Total number of files=139897,added files=0,removed files=0,changed files=1

Changed files:
changed:/etc/hosts
Detailed information about changes:

File: /etc/hosts
Size : 194 , 218
Mtime : 2005-12-07 18:50:51 , 2005-12-07 19:01:34
Ctime : 2005-12-07 18:50:51 , 2005-12-07 19:01:34
MD5 : EcmiCF2LW4ftnMmXAaWlKA== , JGj9OTGcrFkeBEXyRvfx1A==
SHA1 : tUG7r2MGzPagQSFrDXo0WLxf6H8= , pNoy5V4caeTKip4b/0Votn3OLdc=



i això és tot, prova feta!

Ara, per exemple, perque s'executés cada dia a les 6 del matí afagiriem al crontab la linea corresponent (el resultat el deixaria a "report_url", se suposa...):

> crontab -e


i afegim aquesta linea "00 06 * * * /usr/sbin/aide -c /etc/aide.conf --check >/dev/null"

el manual de l'AIDE: http://www.cs.tut.fi/~rammer/aide/manual.html
una comparació (força antiga, això si) d'AIDE i TripWire: http://www.fbunet.de/aide.shtml