Control de integridad de archivos en Linux con AIDE
AIDE es una herramienta más de seguridad que nos permite detectar posibles Rookits en nuestro sistema. La seguridad de los ficheros del sistema son una paso más hacia la protección de nuestro sistema.
La instalación de AIDE para distribuciones basadas en RedHat:
# yum install aide
Y para distribuciones basadas en Debian:
# apt-get install aide
Una vez instalado podemos ver su fichero de configuración /etc/aide.conf donde se establecen, además de otros parámetros, los ficheros que serán auditados.
El funcionamiento es simple, primero crearemos una “baseline” con la información de los ficheros a proteger, conviene realizar este paso inmediatamente después de la instalación del sistema para aseguramos que los ficheros no han sido manipulados. Para realizar el “baseline” ejecutaremos el siguiente comando:
# aide --init
Esto creará una base datos en el fichero /var/lib/aide/aide.db.new.gz
Para realizar la comprobación de que los fichero no han sido manipulados deberemos primero copiar el fichero generado de la siguiente forma:
# cp /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Una vez copiado ya podemos lanzar el proceso para comprobar si hay cambios:
# aide –check
En el caso anterior hemos agregado un usuario y podemos ver que archivos han sido modificados.
Un ejemplo de uso será crear el siguiente script que se ejecutaría diariamente a través de cron donde se comprueban los archivos que han cambiado y envía un correo, rotando la base de datos para que no se vuelvan a enviar los cambios en el siguiente correo:
Como nota final indicar que RedHat a través de su programa rpm permite comparar los ficheros que hay en el sistema con los ficheros que se instalaron en su día mediante el gestor de paquetes. Por ejemplo para ver si se ha modificado algún archivo del paquete “sudo” se ejecutará el siguiente comando:
# rpm -V sudo