dimecres, de desembre 07, 2005

Proves amb AIDE

Un amic em comenta que ha fet proves amb AIDE (Advanced Intrusion Detection Environment) , i jo que d'aquests tipus d'IDS només he usat el TripWire de RedHat, decideixo provar-lo.

Les proves són fetes amb un Fedora Core 4 i he anat bastant pel dret. Instal.lació:

> yum install aide


Configuració:

> vi /etc/aide.conf


Directives de seguretat importants:
database # La base de dades origen per fer les comprovacions
database_out # La base de dades que es generarà quan inicialitzem (-i) l'aide
report_url # Localotzació dels resultats de la comprovació

(per fer les proves es poden deixar per defecte
per posar-lo en producció un cop connectat a cap xarxa la "database" hauria d'estar preferiblement en un
mitjà de només lectura, de manera que ningú el pogués modificar, per exemple un disquet)

i després els arxius/directoris a comprovar
(per defecte ja inclou les parts "importants" del sistema)

> aide -i (inicialitzar la Base de Dades de l'Aide)

AIDE, version 0.10

### AIDE database initialized.


Ja es pot agafar la Base de Dades que acabem de generar com a "Bona".
Per tant la copiem perque coincideixi amb la del paràmetre anterior "database"

> cp /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

ara ja podem fer una comprovació sense canviar res i una altre canviant al per veure com ho detecta

> aide --check

AIDE, version 0.10

### All files match AIDE database. Looks okay!


ara ja podem fer alguna modificació i que aide ho descubreixi:

> echo "127.0.0.2 google.com" >> /etc/hosts (Afegim un antreda a hosts)
> aide --check

AIDE found differences between database and filesystem!!
Start timestamp: 2005-12-07 19:01:39
Summary:
Total number of files=139897,added files=0,removed files=0,changed files=1

Changed files:
changed:/etc/hosts
Detailed information about changes:

File: /etc/hosts
Size : 194 , 218
Mtime : 2005-12-07 18:50:51 , 2005-12-07 19:01:34
Ctime : 2005-12-07 18:50:51 , 2005-12-07 19:01:34
MD5 : EcmiCF2LW4ftnMmXAaWlKA== , JGj9OTGcrFkeBEXyRvfx1A==
SHA1 : tUG7r2MGzPagQSFrDXo0WLxf6H8= , pNoy5V4caeTKip4b/0Votn3OLdc=



i això és tot, prova feta!

Ara, per exemple, perque s'executés cada dia a les 6 del matí afagiriem al crontab la linea corresponent (el resultat el deixaria a "report_url", se suposa...):

> crontab -e


i afegim aquesta linea "00 06 * * * /usr/sbin/aide -c /etc/aide.conf --check >/dev/null"

el manual de l'AIDE: http://www.cs.tut.fi/~rammer/aide/manual.html
una comparació (força antiga, això si) d'AIDE i TripWire: http://www.fbunet.de/aide.shtml

1 comentari:

pe2frp9l4d ha dit...

The metals suited to this had been lead, copper, zinc, iron and later metal. Tin was often used to coat iron and metal sheets to forestall it from rusting. This tin-coated sheet steel was referred to as "tinplate." Sheet metals appeared within the United States within the 1870s, getting used Waterproof Electric Lighters for shingle roofing, stamped ornamental ceilings, and exterior façades. Sheet steel ceilings had been solely popularly generally known as|often recognized as} "tin ceilings" later as manufacturers of the period did not use the time period.