Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Aide PDF

    Enviado por

    wanmozes
    36 visualizações8 páginas

    Título original

    aide.pdf

    Direitos autorais

    © Attribution Non-Commercial (BY-NC)

    Formatos disponíveis

    PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento

    Direitos autorais:

    Attribution Non-Commercial (BY-NC)
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    36 visualizações8 páginas

    Aide PDF

    Enviado por

    wanmozes

    Direitos autorais:

    Attribution Non-Commercial (BY-NC)
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 8

    Linux Network Servers 457 AIDE

    www.4linux.com.br

    AIDE - 2

    Sumrio
    AIDE........................................................................................................................................... 3 1.1. Objetivos:........................................................................................................................ 3 HIDS (AIDE)............................................................................................................................... 4 1.1. Prtica AIDE.................................................................................................................... 6 1.2. Simulando uma alterao indevida ................................................................................ 7 1.3. Gerando relatrio em busca de alguma anomalia...........................................................8

    ndice de tabelas ndice de Figuras

    AIDE - 3

    AIDE

    1.1. Objetivos:
    Aprender a usar um Host Intrusion Detection System;

    HIDS (AIDE) - 4

    HIDS (AIDE)

    O que seria deteco de intruso? Engloba o processo de monitorar, identificar e notificar a ocorrncia de atividades maliciosas, atividades no autorizadas que coloquem em risco e tenham como alvo ativos de tecnologia de uma rede de computadores. E um Sistema de Deteco de Intruso ou Intrusion Detection Systems? (IDSs) o conjunto de hardware e software cujo objetivo principal identificar determinados eventos. Qual seria a consequncia de um invasor trocar o executvel do sshd? Ele poderia pegar todas as senhas facilmente, sniffar qualquer conexo. Basicamente fazer o que quiser. O que podemos fazer para saber se nossa mquina foi comprometida ou no, ou seja, garantir que o nosso sshd est integro? Usar um HIDS! A sigla HIDS significa Host Intrusion Detection System. O intuito de termos um sistema de segurana local e proteger a integridade dos nossos dados em nosso sistema, evitando que algo seja roubado, danificado ou modificado para deixar uma porta de entrada em nosso sistema.

    HIDS (AIDE) - 5

    Como funciona um HIDS, no nosso caso o AIDE? AIDE (Advanced Intrusion Detection Environment). O AIDE um sistema de deteco de intruso que trabalha por checagem de integridade dos arquivos. Quando o AIDE est configurado, necessrio gerar uma base do sistema que contm todas as informaes do sistema (assinatura) at o momento em que a base foi criada. Quando algo estranho notificado no sistema, pode-se comparar essa base com o sistema atual, caso algo tenha sido modificado, o AIDE vai apontar o estado original do arquivo ou diretrio modificado e estado atual. O AIDE pode apontar se o tamanho do arquivo est diferente, se a localizao do arquivo no disco foi modificada, permisses entre outras checagens. Eu devo manter minha base de assinaturas na mesma mquina? No. Pois um invasor pode modificar um arquivo e adulterar a base de assinaturas. Como fazer ento? Simplesmente fazer uma cpia da base.

    HIDS (AIDE) - 6

    1.1. Prtica AIDE


    Vamos instalar o AIDE: # aptitude install aide

    Vamos ver o arquivo de configurao: # vim /etc/aide/aide.conf

    Parmetros principais: # vim /etc/aide/aide.conf database=file:/var/lib/aide/aide.db database_out=file:/var/lib/aide/aide.db.new database_new=file:/var/lib/aide/aide.db.new Checksums = md5+sha1+rmd160+haval+gost+crc32+tiger+whirlpool OwnerMode = p+u+g // permisso + usuario + grupo Size = s+b // tamanho + blocos InodeData = OwnerMode+n+i+Size n = nmero de links i = inodes

    HIDS (AIDE) - 7 Atualizar a configurao: # update-aide.conf

    Feito isso, vamos execut-lo: # aideinit

    Depois de instalado, podemos verificar que o AIDE cria um arquivo de configurao para cada servio que ele capaz de verificar. # ls /etc/aide/aide.conf.d

    1.2. Simulando uma alterao indevida


    Abra um desses arquivos e veja como ele . Agora que terminou a verificao, vamos gerar um relatrio. Mova o arquivo /bin/rmdir para /root # mv /bin/rmdir /root

    Crie um arquivo qualquer: # touch /bin/rmdir

    HIDS (AIDE) - 8

    1.3. Gerando relatrio em busca de alguma anomalia


    Agora vamos comparar com a base que foi colhida anteriormente: # aide -C --config=/var/lib/aide/aide.conf.autogenerated | tee /root/relatorio.txt

    Abra o relatrio e veja o resultado: File: /bin/rmdir Size : 13880 ,0 ,0 , -rw-r--r-, 2008-11-24 21:29:29 , 2008-11-24 21:29:29 , 15926 , AAAAAA== Bcount : 32 Permissions: -rwxr-xr-x Mtime Ctime Inode CRC32 : 2007-01-30 16:51:14 : 2008-05-19 19:23:40 : 15985 : QSD+GA==

    Você também pode gostar