Aide

--> aide (advanced intrusion detection enviroment) - http://www.cs.tut.fi/~rammer/aide.html - http://sourceforge.net/projects/aide todo bom administrador de sistemas deve ter o bom habito de regularmente analisar as mudan�as decorrentes em seu sistema, mudan�as tais como permiss�es, arquivos rec�m criados, inodes alterados, mudan�a nos par�metros do programas, para isto existem varias ferramentas dispon�veis, uma delas � o aide. o aide � um substituto livre para o tripware. faz as mesmas coisas como um semifree tripware e mais.... --> instala��o urpmi aide --> funcionamento o aide cria uma base de dados das regras em forma de express�es regulares encontradas no arquivo de conf. uma vez que esta base � inicializada pode ser usada para verificar a integridade dos arquivos. h� v�rios algoritmos "message digest"(md5, sha1,etc) que s�o usados para checar a integridade dos arquivos. todos atributos usuais do arquivo pode ser checados por insconsistencias. o admin do sistema, ter� que criar uma base aide no sistema novo, antes do mesmo ser colocado dentro da rede. essa base � um snapshot do sistema em um estado "normal". a base ir� conter info sobre bin�rios principais do sistema, bibliotecas, arquivos de cabe�alhos e outros arquivos que esperamos ser os mesmos durante o tempo, assim a base n�o dever conter info sobre arquivos que mudar frequentemente como spool, mail, logs, /proc, home e tmp. depois disso, o admin pode examinar o sistema usando ferramentas como "ls,ps,netstat" que s�o ferramentas comuns de serem atacadas. (root kits)....mas o proprio binario aide pode ser alterado hehehe :d --> configurando vi /etc/aide.conf database=file:/var/lib/aide/aide.db database_out=file:/var/lib/aide/aide.db.new # here are all the things we can check - these are the default rules # #p: permissions #i: inode #n: number of links #u: user #g: group #s: size #b: block count #m: mtime #a: atime #c: ctime #s: check for growing size #md5: md5 checksum #sha1: sha1 checksum

#rmd160: #tiger: #r: #l: #e: #>:

rmd160 checksum tiger checksum p+i+n+u+g+s+m+c+md5 p+i+n+u+g empty group growing logfile p+u+g+i+n+s

myrule = p+i+n+u+g+s+b+m+c+md5+sha1 all=r+a+sha1+rmd160+tiger standard=s+p+u+g+c+md5+sha1 min=s+p+u+g+c+sha1 minetc=s+p+u+g+sha1 # next decide what directories/files you want in the database #/etc p+i+u+g #/bin myrule #/sbin myrule #/var myrule #!/var/log/.* #!/var/spool/.* #!/var/adm/utmp$

#check only permissions, inode, user and group for etc # apply the custom rule to the files in bin # apply the same custom rule to the files in sbin # ignore the log dir it changes too often # ignore spool dirs as they change too often # ignore the file /var/adm/utmp

/boot standard /lib standard /etc minetc /bin standard /sbin myrule /usr/sbin myrule /root/ standard !/usr/tmp #!/usr/local/man/whatis #!/usr/lib/perl5/man/whatis !/usr/share/man/whatis !/usr/x11r6/man/whatis /usr standard /usr/local/etc min /var min /var/lib/rpm standard !/var/tmp !/var/lock !/var/lost+found !/var/log !/var/spool !/var/run !/var/account !/var/lib !/var/cache !/var/mail eport_url=file:/tmp/aideoutput.txt --> executando - criando a base aide aide --init - tornando a base criada como base permanente de referncia

mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db - checando a base aide --check - atualizando a base (depois de alterar a conf) aide --update - testando no arquivo /etc/aide.conf database=file:/var/lib/aide/aide.db database_out=file:/var/lib/aide/aide.db.new teste = p+u+g+md5 /etc teste aide --init alterar algum arquivo no /etc aide --check "aide was the ids used by the debian project's administration team to learn that four of their servers had been compromised." fontes: http://www.linuxbsd.com.br/portal/index.php?q=node/70 http://security.linux.com/article.pl?sid=05/01/19/2238249 http://linuxgazette.net/issue75/maiorano.html man aide man aide.conf