Aide —
aide (Advanced Intrusion Detection Environment) è un software che controlla l’integrità di files e directory.
Su una macchina di difesa perimetrale è importante avere la situazione il più monitorata possibile una possibile intrusione potrebbe lasciare tracce ad esempio la modifica di files e/o directory aide si crea un database ad un dato momento e quindi lo confronta giorno per giorno segnalandone le modifiche.
Installato aide con apt-get install si tratta di inizializzare il database, senza mostrare gli errori che si ottengono con la procedura suggerita dal manuale (sarei curioso di capire per quale motivo non lo correggono) con aideinit si generano in /var/lib/aide i files aide.conf.autogenerated aide.db.new che son quelli necessari per il funzionamento, non sarebbe una cattiva idea copiare i database, i file di configurazione e i binari da qualche parte in caso un attaccante che sa il fatto suo modificasse uno di questi “oggetti” per nascondere la sua intrusione e quindi usare ad esempio un cd per fare i chek, la paranoia non è mai troppa poi ognuno decida come comportarsi.
A Seguito di aggiornamenti del sitema piuttosto che di aggiunte di pacchetti aide può dare dei falsi positivi, la procedura per riportare alllo status quo ante è la seguente:
#aideinit
#cp /var/lib/aide/aide.db.new /var/lib/aide/aide.db
#aide -c /etc/aide/aide.conf --check
Categorised as: IDS | Linux | Networking | Sistemi operativi | Work
Comments are disabled on this post