Como o AIDE ajuda na detecção de modificações no seu sistema de produção

O que é o AIDE?

O AIDE é o acronimo de Advanced Intrusion Detection Environment, é um software que permite ao analista detectar se houve alguma tipo de modificação no host. Além de detectar ele também informa qual o arquivo que foi modificado.

 

Como funciona?

Depois de uma invasão, um administrador pode começar examinando o sistema usando ferramentas de sistema como ls, ps, netstat e who — as ferramentas mais prováveis de serem trojanadas. Imagine essas ferramentas tenham sido alteradas para não mostrar qualquer arquivo chamado “sniffedpackets.log” e que ps e netstat foram reescrito para não mostrar qualquer informação para um processo chamado “sniffdaemond”. Até mesmo um administrador que já havia imprimido em papel as datas e tamanhos desses arquivos de sistema não podem comparar que eles não foram modificados de alguma forma. Datas do arquivo e tamanhos podem ser manipulados, alguns root-kits melhores tornam isso trivial.

Embora seja possível manipular datas e tamanhos de arquivos, é muito mais difícil manipular uma única soma de verificação criptográfica como md5, e exponencialmente mais difícil de manipular cada um de todas a matrizes checksum que o AIDE suporta. Executando novamente o AIDE após uma invasão, um administrador do sistema pode identificar rapidamente as alterações nos arquivos e tem um grau bastante elevado de confiança quanto à precisão.

 

Cai no Exame LPI-303

O AIDE atualmente está incluido no exame LPI-303 focado em segurança de sistemas Linux, está no tópido 326.2 Host Intrusion Detection e tem peso 4. Neste tópico da LPI o candidato deve estar familiarizado com o uso e configuração dos softwares de detecção de intrusos mais comuns da atualidade.

 

Exam_303_Objectives_Linux_Professional_Institute

 

 

Instalação do AIDE

 

A instalação do AIDE é muito simples, no exemplo a seguir é mostrado como instalar em um servidor Linux CentOS:

 

[root@localhost ~]# yum -y install aide

[root@localhost ~]# aide --init

[root@localhost ~]# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Configuração bem simples

 

A configuração do aide é feita em apenas um arquivo, o /etc/aide.conf, segue um exemplo do arquivo de configuração:

 

@@define DBDIR /var/lib/aide
@@define LOGDIR /var/log/aide
database=file:@@{DBDIR}/aide.db.gz
database_out=file:@@{DBDIR}/aide.db.new.gz
gzip_dbout=yes
verbose=5
report_url=file:@@{LOGDIR}/aide.log
report_url=stdout
CONTENT_EX = sha256+ftype+p+u+g+n+acl+selinux+xattrs
/boot/ CONTENT_EX
/bin/ CONTENT_EX
/sbin/ CONTENT_EX
/lib/ CONTENT_EX
/lib64/ CONTENT_EX
!/var/log/httpd
=/etc/passwd sha256

 

Verificação

 

Para verificar o sistema atual e comparando com o banco de dados que foi gerado pelo aide é utilizado o parametro –check, exemplo:

 

[root@localhost ~]# aide --check

 

Se houver alguma modificação você receberá algo como o texto abaixo:

 

AIDE found differences between database and filesystem!!
Start timestamp: 2018-11-06 01:00:01
Summary:
  Total number of files:        53856
  Added files:                        1
  Removed files:                1
  Changed files:                1
---------------------------------------------------
Added files:
---------------------------------------------------
added: /root/blocked_ips.txt
---------------------------------------------------
Removed files:
---------------------------------------------------
removed: /root/zimbra-valerio.log
---------------------------------------------------
Changed files:
---------------------------------------------------
changed: /root
--------------------------------------------------
Detailed information about changes:
---------------------------------------------------
Directory: /root
  Mtime    : 2018-10-19 14:19:01              , 2018-11-05 08:49:14
  Ctime    : 2018-10-19 14:19:01              , 2018-11-05 08:49:14
                                      

 

Conclusão

 

Você poderá aumentar a sergurança de seus hosts simplesmente executando o aide de tempos em tempos de forma automatica e enviando o resultado por e-mail.

Em configurações mais avançadas também é possível configurar sistemas de montitoramento como Centreon ou Zabbix para executar o aide –check e obter o resultado com Alertas .

 

A FAME Treinamentos tem um curso de AIDE disponível na Udemy, segue o link com um cupom de desconto:

https://www.udemy.com/deteccao-de-intrusos-com-aide/?couponCode=AIDE20181108

 

Logo AIDE

Detecção de Intrusos com AIDE

Aumente a segurança de servidores Linux e BSD verificando a integridade dos arquivos com o anti-rootkit AIDE.