sábado, 21 de noviembre de 2009

Como configurar aide

Aide es una aplicación tipo HIDS , (Host Intrusion Detection System), es la aplicacion substituta de tripwire, esta aplicacion permite tomar una radriografia a la integridad de los sistemas de archivos en linux y ayuda a identifica cuales archivos han sido modificados en su integridad desde su instalación .

para instalar la aplicacion requerimos de 2 paquetes importantes .

AIDE y MHASH.

MHASH es una libreria que provee de multiples algoritmos de hash ( firmas digitales ) .


yum -y install aide mhash

estas aplicaciones se encuentran el repositorios de Centos.

al terminar la instalación . editaremos el archivo que se encuentra en /etc/aide.conf

hacemos una copia de resplado del archivo de configuracion .

cp /etc/aide.conf /etc/aide.conf.bk


editamos el archivo aide.conf si requerimos hacerlo. por ejemplo agregar algunos directorios u omitir directorios .

vi /etc/aide.conf

El archivo muestra una salida como la siguiente donde podemos modificar los archivos o folder que requieren ser respaldados su integridad.

 # Next decide what directories/files you want in the database     /etc NORMAL    /bin NORMAL    /sbin NORMAL    /var NORMAL
 #There are too volatile    !/usr/src     !/usr/tmp

podemos colocar el nivel mas alto como es EVERYTHING que agrega todos los algoritmos de Hash disponibles remplazando a NORMAL, en el archivo de configuración indica amplia mente como utilizar los tags .

adecuando el nivel de integridad que requerimos para nuestro sistema iniciamos la base de datos de AIDE 


/usr/bin/aide -c /etc/aide.conf --init

este comando creara una base de datos de toda las firmas de los archivos en el directorio /var/lib/aide/aide.db.new.gz (este destino puede ser editado en el archivo de configuración) el cual debemos proteger para cuando sea necesario utilizarlo .
y periódicamente ser actualizado cuando sea requerido para mantener el mas alto nivel de seguridad de que la informacion no ha sido alterada de ninguna manera.

es recomendable hacer un respaldo en medios alternos como cd o cintas magneticas . 
mkisofs -V aide`date +%F` -J -R -o aide.iso /var/lib/aide/aide.db.new.gz
cdrecord -v -eject aide.iso


Para revisar la integridad de los archivos, debemos ejecutar la siguiente linea de comandos 


/usr/bin/aide -c /etc/aide.conf --check

este comando debe ser frecuente mente ejecutado asi que podemos agregarlo al crontab que se ejecute diariamente por las noches , agregamos la siguiente linea en el archivo del crontab


0 3 * * * root /usr/bin/aide -c /etc/aide.conf --check


Este comando enviara un correo electrónico al root ( o usuario en el alias ) con toda la información de modificaciones .

al hacer una actualización del sistema debemos de asegurarnos de actualizar la base de datos del aide . esto se realiza de la sig. manera 


 /usr/bin/aide -c /etc/aide.conf --update

De esta manera podremos mantener la integridad de nuestros archivos .


Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)