O que é o AIDE?
O AIDE é o acronimo de Advanced Intrusion Detection Environment, é um software que permite ao analista detectar se houve alguma tipo de modificação no host. Além de detectar ele também informa qual o arquivo que foi modificado.
Como funciona?
Depois de uma invasão, um administrador pode começar examinando o sistema usando ferramentas de sistema como ls, ps, netstat e who — as ferramentas mais prováveis de serem trojanadas. Imagine essas ferramentas tenham sido alteradas para não mostrar qualquer arquivo chamado “sniffedpackets.log” e que ps e netstat foram reescrito para não mostrar qualquer informação para um processo chamado “sniffdaemond”. Até mesmo um administrador que já havia imprimido em papel as datas e tamanhos desses arquivos de sistema não podem comparar que eles não foram modificados de alguma forma. Datas do arquivo e tamanhos podem ser manipulados, alguns root-kits melhores tornam isso trivial.
Embora seja possível manipular datas e tamanhos de arquivos, é muito mais difícil manipular uma única soma de verificação criptográfica como md5, e exponencialmente mais difícil de manipular cada um de todas a matrizes checksum que o AIDE suporta. Executando novamente o AIDE após uma invasão, um administrador do sistema pode identificar rapidamente as alterações nos arquivos e tem um grau bastante elevado de confiança quanto à precisão.
Cai no Exame LPI-303
O AIDE atualmente está incluido no exame LPI-303 focado em segurança de sistemas Linux, está no tópido 326.2 Host Intrusion Detection e tem peso 4. Neste tópico da LPI o candidato deve estar familiarizado com o uso e configuração dos softwares de detecção de intrusos mais comuns da atualidade.
Instalação do AIDE
A instalação do AIDE é muito simples, no exemplo a seguir é mostrado como instalar em um servidor Linux CentOS:
[root@localhost ~]# yum -y install aide
[root@localhost ~]# aide --init
[root@localhost ~]# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Configuração bem simples
A configuração do aide é feita em apenas um arquivo, o /etc/aide.conf, segue um exemplo do arquivo de configuração:
@@define DBDIR /var/lib/aide
@@define LOGDIR /var/log/aide
database=file:@@{DBDIR}/aide.db.gz
database_out=file:@@{DBDIR}/aide.db.new.gz
gzip_dbout=yes
verbose=5
report_url=file:@@{LOGDIR}/aide.log
report_url=stdout
CONTENT_EX = sha256+ftype+p+u+g+n+acl+selinux+xattrs
/boot/ CONTENT_EX
/bin/ CONTENT_EX
/sbin/ CONTENT_EX
/lib/ CONTENT_EX
/lib64/ CONTENT_EX
!/var/log/httpd
=/etc/passwd sha256
Verificação
Para verificar o sistema atual e comparando com o banco de dados que foi gerado pelo aide é utilizado o parametro –check, exemplo:
[root@localhost ~]# aide --check
Se houver alguma modificação você receberá algo como o texto abaixo:
AIDE found differences between database and filesystem!! Start timestamp: 2018-11-06 01:00:01 Summary: Total number of files: 53856 Added files: 1 Removed files: 1 Changed files: 1 --------------------------------------------------- Added files: --------------------------------------------------- added: /root/blocked_ips.txt --------------------------------------------------- Removed files: --------------------------------------------------- removed: /root/zimbra-valerio.log --------------------------------------------------- Changed files: --------------------------------------------------- changed: /root -------------------------------------------------- Detailed information about changes: --------------------------------------------------- Directory: /root Mtime : 2018-10-19 14:19:01 , 2018-11-05 08:49:14 Ctime : 2018-10-19 14:19:01 , 2018-11-05 08:49:14
Conclusão
Você poderá aumentar a sergurança de seus hosts simplesmente executando o aide de tempos em tempos de forma automatica e enviando o resultado por e-mail.
Em configurações mais avançadas também é possível configurar sistemas de montitoramento como Centreon ou Zabbix para executar o aide –check e obter o resultado com Alertas .
A FAME Treinamentos tem um curso de AIDE disponível na Udemy, segue o link com um cupom de desconto:
https://www.udemy.com/deteccao-de-intrusos-com-aide/?couponCode=AIDE20181108
Detecção de Intrusos com AIDE
Aumente a segurança de servidores Linux e BSD verificando a integridade dos arquivos com o anti-rootkit AIDE.