--> aide (advanced intrusion detection enviroment)

- http://www.cs.tut.fi/~rammer/aide.html
- http://sourceforge.net/projects/aide

todo bom administrador de sistemas deve ter o bom habito de regularmente analisar
as mudan�as decorrentes em seu sistema, mudan�as tais como permiss�es, arquivos
rec�m criados, inodes alterados, mudan�a nos par�metros do programas, para isto
existem varias ferramentas dispon�veis, uma delas � o aide.

o aide � um substituto livre para o tripware. faz as mesmas coisas como um semi-
free tripware e mais....

--> instala��o

urpmi aide

--> funcionamento

o aide cria uma base de dados das regras em forma de express�es regulares
encontradas no arquivo de conf. uma vez que esta base � inicializada pode ser
usada para verificar a integridade dos arquivos. h� v�rios algoritmos "message
digest"(md5, sha1,etc) que s�o usados para checar a integridade dos arquivos.
todos atributos usuais do arquivo pode ser checados por insconsistencias.

o admin do sistema, ter� que criar uma base aide no sistema novo, antes do mesmo
ser colocado dentro da rede. essa base � um snapshot do sistema em um estado
"normal". a base ir� conter info sobre bin�rios principais do sistema,
bibliotecas, arquivos de cabe�alhos e outros arquivos que esperamos ser os mesmos
durante o tempo, assim a base n�o dever conter info sobre arquivos que mudar
frequentemente como spool, mail, logs, /proc, home e tmp.

depois disso, o admin pode examinar o sistema usando ferramentas como

"ls,ps,netstat" que s�o ferramentas comuns de serem atacadas. (root kits)....mas o
proprio binario aide pode ser alterado hehehe :d

--> configurando

vi /etc/aide.conf

database=file:/var/lib/aide/aide.db
database_out=file:/var/lib/aide/aide.db.new

# here are all the things we can check - these are the default rules
#
#p: permissions
#i: inode
#n: number of links
#u: user
#g: group
#s: size
#b: block count
#m: mtime
#a: atime
#c: ctime
#s: check for growing size
#md5: md5 checksum
#sha1: sha1 checksum
 #rmd160: rmd160 checksum
#tiger: tiger checksum
#r: p+i+n+u+g+s+m+c+md5
#l: p+i+n+u+g
#e: empty group
#>: growing logfile p+u+g+i+n+s

myrule = p+i+n+u+g+s+b+m+c+md5+sha1
all=r+a+sha1+rmd160+tiger
standard=s+p+u+g+c+md5+sha1
min=s+p+u+g+c+sha1
minetc=s+p+u+g+sha1

# next decide what directories/files you want in the database

#/etc p+i+u+g #check only permissions, inode, user and group for etc
#/bin myrule # apply the custom rule to the files in bin
#/sbin myrule # apply the same custom rule to the files in sbin
#/var myrule
#!/var/log/.* # ignore the log dir it changes too often
#!/var/spool/.* # ignore spool dirs as they change too often
#!/var/adm/utmp$ # ignore the file /var/adm/utmp

/boot standard
/lib standard
/etc minetc
/bin standard
/sbin myrule
/usr/sbin myrule
/root/ standard
!/usr/tmp
#!/usr/local/man/whatis
#!/usr/lib/perl5/man/whatis
!/usr/share/man/whatis
!/usr/x11r6/man/whatis
/usr standard
/usr/local/etc min
/var min
/var/lib/rpm standard
!/var/tmp
!/var/lock
!/var/lost+found
!/var/log
!/var/spool
!/var/run
!/var/account
!/var/lib
!/var/cache
!/var/mail

eport_url=file:/tmp/aideoutput.txt

--> executando

- criando a base aide

aide --init

- tornando a base criada como base permanente de referncia

mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db

- checando a base
aide --check

- atualizando a base (depois de alterar a conf)

aide --update

- testando

no arquivo /etc/aide.conf

database=file:/var/lib/aide/aide.db
database_out=file:/var/lib/aide/aide.db.new
teste = p+u+g+md5
/etc teste

aide --init

alterar algum arquivo no /etc

aide --check

"aide was the ids used by the debian project's administration team to learn that
four of their servers had been compromised."

fontes:
http://www.linuxbsd.com.br/portal/index.php?q=node/70
http://security.linux.com/article.pl?sid=05/01/19/2238249
http://linuxgazette.net/issue75/maiorano.html
man aide
man aide.conf