AIDE significa "Entorno de detección de intrusos avanzado" y es una de las herramientas más populares para monitorear los cambios en los sistemas operativos basados en Linux. Se utiliza para proteger su sistema contra malware, virus y detectar actividades no autorizadas. Funciona mediante la creación de una base de datos del sistema de archivos y compara esta base de datos con el sistema para garantizar la integridad de los archivos y detectar intrusiones en el sistema. AIDE lo ayuda a acortar el tiempo de investigación durante la respuesta a incidentes enfocándose en los archivos que han sido modificados.
Características
- Admite varios atributos, incluidos Tipo de archivo, Inodo, Uid, Gid, Permisos, Número de enlaces, Mtime, Ctime y Atime.
- Admite compresión Gzip, SELinux, XAttrs, Posix ACL y atributos de sistema de archivos extendidos.
- Capaz de crear y comparar varios algoritmos de resumen de mensajes, incluidos md5, sha1, sha256, sha512, rmd160, crc32, etc.
- Capaz de notificarle por correo electrónico.
En este tutorial, le mostraremos cómo instalar y usar AIDE para detectar intrusiones en CentOS 8.
Requisitos
- Un servidor que ejecuta CentOS 8 con un mínimo de 2 GB de RAM.
- Se ha configurado una contraseña raíz en su servidor.
Cómo empezar
Antes de comenzar, es una buena idea actualizar su sistema a la versión actualizada. Ejecute el siguiente comando para actualizar su sistema.
dnf update -y
Una vez que su sistema esté actualizado, reinícielo para implementar los cambios.
Instalar AIDE
De forma predeterminada, AIDE está disponible en el repositorio predeterminado de CentOS 8. Puede instalarlo fácilmente simplemente ejecutando el siguiente comando:
dnf install aide -y
Una vez completada la instalación, puede verificar la versión instalada de AIDE usando el siguiente comando:
aide --version
Debería ver el siguiente resultado:
Aide 0.16 Compiled with the following options: WITH_MMAP WITH_PCRE WITH_POSIX_ACL WITH_SELINUX WITH_XATTR WITH_E2FSATTRS WITH_LSTAT64 WITH_READDIR64 WITH_ZLIB WITH_CURL WITH_GCRYPT WITH_AUDIT CONFIG_FILE = "/etc/aide.conf"
También puede ver todas las opciones disponibles con el comando auxiliar usando el siguiente comando:
aide --help
Debería ver la siguiente pantalla:
Crear e inicializar la base de datos
Después de instalar AIDE, lo primero que deberá hacer es inicializar la configuración. Esta inicialización creará una base de datos (instantánea) de todos los archivos y directorios de su servidor.
Ejecute el siguiente comando para inicializar la base de datos:
aide --init
Debería ver el siguiente resultado:
Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz
Number of entries: 49472
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db.new.gz
MD5 : 4N79P7hPE2uxJJ1o7na9sA==
SHA1 : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
RMD160 : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
TIGER : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
SHA256 : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
xWXT2iaEHgQ=
SHA512 : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
nDw6lgDNI/ls2esijukliQ==
End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)
El comando anterior creará una nueva base de datos AIDE aide.db.new.gz dentro del directorio /var/lib/aide. Puedes verlo usando el siguiente comando:
ls -l /var/lib/aide
Debería ver el siguiente resultado:
total 2800 -rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz
AIDE no usará el nuevo archivo de base de datos hasta que haya sido renombrado a aide.db.gz. Puede cambiarle el nombre con el siguiente comando:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Se recomienda actualizar esta base de datos en un período determinado para garantizar un seguimiento adecuado de los cambios. También puede cambiar la ubicación de la base de datos AIDE editando el archivo /etc/aide.conf y modificando el valor DBDIR.
Consultar AYUDANTE
En este punto, AIDE está listo para usar la nueva base de datos. Ahora, ejecute su primera verificación AIDE sin hacer ningún cambio:
aide --check
Este comando tomará algún tiempo dependiendo del tamaño de su sistema de archivos y la cantidad de RAM en su servidor. Una vez que se haya completado la verificación de AIDE, debería ver el siguiente resultado:
Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16) AIDE found NO differences between database and filesystem. Looks okay!!
El resultado anterior indica que todos los archivos y directorios coinciden con la base de datos de AIDE.
AUXILIAR de prueba
De forma predeterminada, AIDE no está configurado para ver archivos y directorios de la raíz de documentos predeterminada de Apache /var/www/html. Por lo tanto, deberá configurar AIDE para ver el directorio /var/www/html. Puede configurarlo editando el archivo /etc/aide.conf.
nano /etc/aide.conf
Agregue la siguiente línea encima de la línea "/root/ CONTENT_EX":
/var/www/html/ CONTENT_EX
Guarde y cierre el archivo cuando haya terminado.
Luego, cree un archivo aide.txt dentro del directorio /var/www/html/ usando el siguiente comando:
echo "Test AIDE" > /var/www/html/aide.txt
Ahora, ejecute la verificación AIDE y verifique que la verificación auxiliar detecte el archivo recién creado.
aide --check
Debería ver el siguiente resultado:
Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16) AIDE found differences between database and filesystem!! Summary: Total number of entries: 49475 Added entries: 1 Removed entries: 0 Changed entries: 0 --------------------------------------------------- Added entries: --------------------------------------------------- f++++++++++++++++: /var/www/html/aide.txt
El resultado anterior indica que la comprobación de asistente detecta el archivo recién creado aide.txt.
A continuación, es una buena idea actualizar la base de datos de AIDE después de revisar los cambios detectados por la verificación de AIDE. Puede actualizar la base de datos de AIDE usando el siguiente comando:
aide --update
Una vez que se actualice la base de datos, debería ver el siguiente resultado:
Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16) AIDE found differences between database and filesystem!! New AIDE database written to /var/lib/aide/aide.db.new.gz Summary: Total number of entries: 49475 Added entries: 1 Removed entries: 0 Changed entries: 0 --------------------------------------------------- Added entries: --------------------------------------------------- f++++++++++++++++: /var/www/html/aide.txt
El comando anterior creará una nueva base de datos llamada aide.db.new.gz en el directorio /var/lib/aide/.
Puedes verlo usando el siguiente comando:
ls -l /var/lib/aide/
Debería ver el siguiente resultado:
total 5600 -rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz -rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz
Ahora, vuelva a cambiar el nombre de la nueva base de datos para que AIDE use esta nueva base de datos para realizar un seguimiento de cualquier cambio nuevo. Puede cambiar el nombre de la base de datos usando el siguiente comando:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Ahora, vuelva a ejecutar la comprobación AIDE para comprobar si el AIDE utiliza la nueva base de datos o no:
aide --check
Debería ver el siguiente resultado:
Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16) AIDE found NO differences between database and filesystem. Looks okay!!
Una vez que haya terminado, puede continuar con el siguiente paso.
Automatización de verificación de AIDE
Es una buena idea automatizar la verificación de AIDE todos los días y enviar el informe a un sistema por correo. Puede automatizar este proceso utilizando el trabajo cron.
Para hacerlo, edite el archivo de configuración predeterminado de cron como se muestra a continuación:
nano /etc/crontab
Agregue la siguiente línea al final del archivo para automatizar la verificación de AIDE todos los días a las 10:15 a. m.:
15 10 * * * root /usr/sbin/aide --check
Guarde y cierre el archivo cuando haya terminado.
Ahora, AIDE le notificará a través del correo del sistema.
Puede consultar el correo de su sistema con el siguiente comando:
tail -f /var/mail/root
También puede consultar el registro de AIDE con el siguiente comando:
tail -f /var/log/aide/aide.log
Conclusión
En el tutorial anterior, aprendió a usar AIDE para comprender los cambios del servidor e identificar el acceso no autorizado a su servidor. Puede modificar el archivo /etc/aide.conf para ver el directorio de su aplicación o cualquier configuración avanzada. Se recomienda mantener su base de datos AIDE y el archivo de configuración en un medio de solo lectura por razones de seguridad. Para más información, puede consultar la documentación de AIDE en AIDE Doc.