AIDE (Español)

From ArchWiki
Jump to navigation Jump to search
Estado de la traducción: esta traducción de AIDE fue revisada el 2021-02-10. Si existen cambios puede actualizarla o avisar al equipo de traducción.

Advanced Intrusion Detection Environment (AIDE) es un sistema de detección de intrusos basado en host (HIDS) para comprobar la integridad de los archivos. Lo hace creando una base de datos de archivos en una ejecución inicial, y luego comprueba esta base de datos con el sistema en las siguientes ejecuciones. Las propiedades de los archivos que se pueden comprobar incluyen el inodo, los permisos, la hora de modificación, el contenido del archivo, etc.

AIDE sólo comprueba la integridad de los archivos. No comprueba la existencia de rootkits o analiza los archivos de registro en busca de actividades sospechosas, como sí lo hacen otros HIDS (como por ejemplo OSSEC). Para estas funciones, puede utilizar un HIDS extra (véase aquí para una comparación posiblemente sesgada), o usar escáneres de rootkit standalone (rkhunter, chkrootkit) y soluciones de monitorización de registros (logwatch, logcheck).

Instalación

Instale el paquete aideAUR, o, en su lugar, aide-selinuxAUR si desea utilizarlo en un sistema con SELinux y Audit framework habilitados.

Configuración

El archivo de configuración predeterminado se encuentra en /etc/aide.conf y contiene unos valores por defecto bastante sensatos y está muy comentado. Si desea cambiar las reglas, véase man aide.conf y el Manual de AIDE para leer la documentación.

Utilización

Para comprobar su configuración, ejecute la orden aide -D.

Para inicializar la base de datos, ejecute aide -i o aideinit. Dependiendo de su configuración y sistema, esta orden puede tardar un poco en completarse.

Puede comprobar el sistema con la base de datos de referencia mediante aide -C, o actualizar la base de datos de referencia ejecutando aide -u.

Para más información, véase aide(1).

Cron

AIDE puede ser ejecutado manualmente, pero posiblemente desee que se ejecute automáticamente. La forma de configurar esto dependerá de su daemon cron y del MUA (si se desea recibir la notificación por correo electrónico).

Si cron está configurado para enviar automáticamente por correo toda la salida del trabajo, es tan simple como

#!/bin/bash -e

# these should be the same as what's defined in /etc/aide.conf
database=/var/lib/aide/aide.db.gz
database_out=/var/lib/aide/aide.db.new.gz

if [ ! -f "$database" ]; then
        echo "$database not found" >&2
        exit 1
fi

aide -u || true

mv $database $database.back
mv $database_out $database

Para conocer ejemplos de scripts cron más complicados, véase aquí o aquí.

Seguridad

Dado que la base de datos se almacena en el sistema de archivos raíz, los atacantes pueden modificarla fácilmente para cubrir su rastro si comprometen su sistema. Puede que quiera copiar la base de datos a un medio sin conexión y de sólo lectura y realizar comprobaciones contra esta copia periódicamente.

Véase también