Cómo verificar la integridad de archivos y directorios usando “AIDE” en Linux

Cómo verificar la integridad de archivos y directorios usando “AIDE” en Linux

En nuestra mega guía para reforzar y asegurar CentOS 7, en la sección “ proteger el sistema internamente. , una de las herramientas de seguridad útiles que enumeramos para la protección del sistema interno contra virus, rootkits, malware y La detección de actividades no autorizadas es AIDE.

AIDE. ( Entorno de detección de intrusiones avanzado. es un pequeño pero poderoso, abierto gratis herramienta de detección de intrusiones de origen, que utiliza reglas predefinidas para verificar la integridad de archivos y directorios en sistemas operativos similares a Unix, como Linux. Es un binario estático independiente para configuraciones simplificadas de monitoreo de cliente/servidor.

Tiene muchas características: utiliza archivos de configuración de texto sin formato y una base de datos que lo hace fácil de usar; admite varios algoritmos de resumen de mensajes como, entre otros, md5, sha1, rmd160, tiger; admite atributos de archivo comunes; también admite potentes expresiones regulares para incluir o excluir de forma selectiva archivos y directorios que se analizarán.

También se puede compilar con un soporte excepcional para la compresión Gzip, Posix ACL, SELinux, XAttrs y los atributos del sistema de archivos extendido.

Aide funciona creando una base de datos (que es simplemente una instantánea de partes seleccionadas del sistema de archivos), a partir de las reglas de expresión regular definidas en los archivos de configuración. Una vez que se inicializa esta base de datos, puede verificar la integridad de los archivos del sistema con ella. Esta guía mostrará cómo instalar y usar AIDE en Linux.

Cómo instalar AIDE en Linux

freestar.config.enabled_slots.push (LocationName: “tecmint_incontent”, slotId: “tecmint_incontent” );

Aide está empaquetado en repositorios oficiales de las principales distribuciones de Linux, para instalarlo ejecute el comando para su distribución usando un administrador de paquetes.

# apt install aide [En Debian/Ubuntu] # yum install aide [ En RHEL/CentOS] # dnf install aide [En Fedora 22+] # zypper install aide [En openSUSE] # emerge aide [En Gentoo]

Después de instalarlo, el archivo de configuración principal es /etc/aide. conf. Para ver la versión instalada y los parámetros de tiempo de compilación, ejecute el siguiente comando en su terminal:

# aide-v Sample Output Aide 0.14 Compilado con las siguientes opciones: WITH_MMAP WITH_POSIX_ACL WITH_SELINUX WITH_PRELINK WITH_XATTR WITH_LSTAT64 WITH_READDIR64 WITH_ZLIB WITH_GCRYPT CON_AUDIT = “/etc/aide.conf”

Puedes abrir la configuración usando tu editor favorito.

# vi/etc/aide.conf

Tiene directivas que definen la ubicación de la base de datos, ubicación del informe, reglas predeterminadas, los directorios/archivos que se incluirán en la base de datos.

Comprensión de las reglas de ayuda predeterminadas  Reglas predeterminadas de AIDE  Reglas predeterminadas de AIDE Reglas predeterminadas de AIDE

Con las reglas predeterminadas anteriores, puede definir nuevas reglas personalizadas en el Archivo aide.conf. por ejemplo.

PERMS = p + u + g + acl + selinux + xattrs

La regla PERMS. se usa solo para control de acceso, detectará cualquier cambio en el archivo o directorios según los permisos del archivo/directorio, el usuario, el grupo, los permisos de control de acceso, el contexto de SELinux y los atributos del archivo.

Esto solo verificará el contenido y el tipo de archivo.

CONTENT = sha256 + ftype

Esta es una versión extendida de la regla anterior, verifica el contenido extendido, el tipo de archivo y el acceso.

CONTENT_EX = sha256 + ftype + p + u + g + n + acl + selinux + xattrs

La regla SOLO DATOS. a continuación ayudará a detectar cualquier cambio en los datos dentro de todos los archivos/directorio.

SOLO DATOS = p + n + u + g + s + acl + selinux + xattrs + sha256  Configurar Aide Reglas  Configurar reglas de ayuda Configurar reglas de ayuda

Definición de reglas para ver archivos y directorios

Una vez que haya definido las reglas, puede especificar el archivo y los directorios a observar. Teniendo en cuenta la regla PERMS anterior, esta definición verificará los permisos para todos los archivos en el directorio raíz.

/root/\..* PERMS

Esto verificará todos los archivos en el directorio /root. para cualquier cambio.

/root/CONTENT_EX

Para ayudarlo a detectar cualquier cambio en los datos dentro de todos los archivos/directorio bajo /etc/, use esto.

/etc/DATAONLY  Configurar reglas de ayuda para el sistema de archivos  Configure las reglas de Aide para el sistema de archivos Configure las reglas de Aide para el sistema de archivos

Uso de AIDE para verificar la integridad de archivos y directorios en Linux

Comience por construir una base de datos con las verificaciones que se realizarán usando la bandera–init. Se espera que esto se haga antes de que su sistema esté conectado a una red.

El siguiente comando creará una base de datos que contiene todos los archivos que seleccionó en su archivo de configuración.

# aide–init  Initialize Aide Database  Inicializar la base de datos de Aide Inicializar la base de datos de Aide

Luego, cambie el nombre de la base de datos a /var/lib/aide/aide.db.gz. antes de continuar, use este comando.

# mv/var/lib/aide/aide.db.new.gz/var/lib/aide/aide.db.gz

Se recomienda mover la base de datos a una ubicación segura posiblemente en un medio de solo lectura o en otras máquinas, pero asegúrese de actualizar el archivo de configuración para leerlo desde allí.

Después de que se crea la base de datos, ahora puede verificar la integridad de los archivos y directorios usando la marca–check.

# aide–check

Leerá la instantánea en la base de datos y la comparará con los archivos/directorios encontrados en el disco del sistema. Si encuentra cambios en lugares inesperados, genera un informe que luego puede revisar.

 Ejecutar verificación de integridad del archivo  Ejecutar verificación de integridad del archivo Ejecutar verificación de integridad de archivos

Dado que no se han realizado cambios en el sistema de archivos, solo obtendrá una salida similar a la anterior. Ahora intente crear algunos archivos en el sistema de archivos, en áreas definidas en el archivo de configuración.

# vi/etc/script.sh # touch all.txt

Luego ejecute una verificación una vez más, que debería informar el archivos agregados arriba. La salida de este comando depende de las partes del sistema de archivos que configuró para la verificación, puede ser un tiempo extra prolongado.

# aide–check  Verificar cambios en el sistema de archivos  Comprobar cambios en el sistema de archivos Comprobar cambios en el sistema de archivos

Necesita ejecutar comprobaciones auxiliares con regularidad y, en caso de cambios en archivos ya seleccionados o adición de nuevas definiciones de archivo en el archivo de configuración, actualice siempre el base de datos usando la opción–update:

# aide–update

Después de ejecutar una actualización de la base de datos, para usar la nueva base de datos para análisis futuros, siempre cámbiele el nombre a /va r/lib/aide/aide.db.gz.

# mv/var/lib/aide/aide.db.new.gz/var/lib/aide/aide.db.gz

¡Eso es todo por ahora! Pero tome nota de estos puntos importantes:

Leave a comment

Your email address will not be published. Required fields are marked *