FileIntegrityAIDE

Introdução

Uma das muitas possíveis camadas de segurança que podem ser aplicadas ao seu Ubuntu é conhecida como monitoramento de integridade de arquivo, ou verificação de integridade do arquivo. O propósito do monitoramento e/ou verificação da integridade das chaves dos arquivos, incluindo binários do sistema e arquivos de configuração, é garantir que os arquivos não foram alterados de forma não autorizado. A alteração não autorizada de certos arquivos do sistema é um sintoma de um ataque efetivo, ou comprometimento de sistema. Usando o monitoramento de integridade de arquivos é possível ficar ciente de qualquer mudança em arquivos críticos do sistema. Como muitas ferramentas e utilidades na comunidade GNU/Linux, existem muitas aplicações diferentes para usar no monitoramento e verificação da integridade dos arquivos no seu sistema Ubuntu. Esse guia irá mencionar algumas dessas ferramentas e discutir a instalação, configuração e uso das mesmas em um sistema Ubuntu.

Ferramentas Disponíveis

Enquanto existem literalmente uma dúzia, ou mais, soluções para monitoramento e verificação de integridade de arquivos críticos em um computador com o sistema GNU/Linux, esse guia irá focar somente o Ambiente Avançado de Detecção de Intruso (Advanced Intrusion Detection Environment, AIDE). Porém, outras possíveis ferramentas e utilitários para o monitoramento e/ou verificação de integridade serão listados na seção Fontes desse guia. A exploração e uso dessas ferramentas é deixado como um exercício para os leitores desse guia.

AIDE

O Ambiente Avançado de Detecção de Intruso (AIDE) é um substituto livre para a popular ferramenta de verificação de integridade de arquivo Tripwire. O AIDE cria um banco de dados através de expressões regulares de regras que são encontrados em um arquivo de configuração, e uma vez que esse banco de dados é inicializado, ele pode ser usado para verificar a integridade de arquivos críticos e de usuários.

AIDE usa os mais populares algoritmos de digestão de mensagens (md5, sha1, rmd160, tiger, haval, etc) para checar a integridade de arquivo. Algoritmos adicionais também podem ser adicionados facilmente. Todos os atributos tradicionais do sistema de arquivos podem ser checados a procura de inconsistências.

Instalando o AIDE

Para instalar o AIDE por um terminal, certifique-se que sua conexão com a Internet está funcionando e digite o comando:

sudo apt-get install aide

Digite sua senha e após a autenticação o pacote AIDE será baixado e instalado.

Durante a instalação, uma janela Configuração do Ubuntu irá aparecer notificando que por padrão relatórios diários serão enviados para o usuário root, e esse é um comportamento que pode ser alterado editando o arquivo de configuração /etc/default/aide. Pressione ENTER para concordar com essa mensagem. Será perguntado se você deseja que o banco de dados do AIDE seja inicializado. Selecione Sim aqui, e pressione ENTER. A próxima janela de confirmação irá pedir que você examine /var/lib/aide/aide.db.new antes de sobrescrever qualquer banco de dados existente. Se essa é a primeira vez que você instala o AIDE no sistema em questão, selecione Sim aqui, e pressione ENTER.

Configurando o AIDE

Existem dois arquivos primários de configuração do AIDE:

/etc/default/aide

O arquivo geral de configuração do AIDE

/etc/aide/aide.conf

O arquivo de configuração de regras do AIDE

Algumas configurações gerais e comportamentos para o AIDE podem ser modificados editando o arquivo de configuração /etc/default/aide. Por exemplo, se você desejasse ter todos os relatórios diários do AIDE enviados por e-mail para o usuário breandon ao invés do usuário root padrão, simplesmente use sudo com seu editor de textos favorito e modifique a linha:

MAILTO=root

Que indica a sua escolha de usuário (no nosso exemplo breandon):

MAILTO=breandon

Leia os comentários em /etc/default/aide para ver o que as outras diretrizes de configuração controlam e mude-as de acordo com os seus requerimentos de instalação.

O outro arquivo de configuração, /etc/aide/aide.conf, controla as regras para diretórios, arquivos e atributos de arquivos os quais o AIDE usa para determinar mudanças durante sua procura. Por exemplo, no arquivo padrão /etc/aide/aide.conf, todos os diretórios e arquivos dos membros do Grupo de definição BinLib são checados pelas permissões, inode, número de links, usuário, grupo, tamanho, contador de bloco, mtime, ctime, soma de checagem md5 e soma de checagem sha1 (p+i+n+u+g+s+b+m+c+md5+sha1) enquanto que todos os diretórios e arquivos dos membros do Grupo de definição Databases são checados somente pelas permissões, número de links, usuário e grupo (p+n+u+g).

Os diretórios de membros de um Grupo particular de definição são adicionados especificando, uma entrada por linha, da seguinte maneira:

diretório Grupo de definição

Por exemplo, para fazer o diretório /opt/local/bin parte do Grupo de definição BinLib, uma linha poderia ser adicionada na seção apropriada do arquivo de configuração /etc/aide/aide.conf como a seguinte:

/opt/local/bin BinLib

Outro exemplo do uso inteligente do AIDE é para monitorar o sistema crontabs. O crontabs controla as atividades agendadas do sistema as quais são executadas por um agendamento no daemon do cron. Para verificar se esses arquivos não foram alterados para introduzir automaticamente no agendamento aplicações maliciosas, simplesmente use o comando sudo para editar o arquivo /etc/aide/aide.conf com seu editor de textos favorito e localize a seção:

# Check crontabs

Descomente todas as linhas que começam com #/var/spool abaixo do cabeçalho # Check crontabs e salve o arquivo. Você pode examinar o arquivo /etc/aide/aide.conf com atenção, observando as seções comentadas, em particular, para outros possíveis usos do AIDE. Leia a página de manual do aide.conf, adicionalmente leia a versão HTML do manual do AIDE para usos futuros, os quais podem ser especificados nos seus arquivos de configuração.

Quando você fizer as mudanças nas configurações, e você quiser usá-las imediatamente, use o seguinte comando em um terminal para atualizar o arquivo de configuração do AIDE:

sudo update-aide.conf

Por outro lado, o crontab diário do AIDE fará a mesma coisa, então se você fizer mudanças, mas não precisa executar o AIDE manualmente e imediatamente, você pode ficar assegurado que a configuração será atualizada automaticamente pelo crontab diário antes da execução diária do AIDE.

Usando o AIDE

Para começar o uso do AIDE, você deve conferir se o banco de dados está presente:

ls /var/lib/aide

Se você ver o arquivo aide.db na saída do comando ls, então, prossiga para o passo de inicialização. Se ao invés disso, você ver o arquivo aide.db.new então você precisa renomear o arquivo aide.db.new para aide.db usando o comando:

sudo mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db

Uma vez que o banco de dados do AIDE está no lugar, você pode inicializá-lo com o comando em um terminal:

sudo aide --init

No fim desse processo, você verá a linha:

### AIDE database initialized

Você pode executar uma checagem inicial dos diretórios e arquivos definidos em /etc/aide/aide.conf usando o seguinte comando no terminal:

sudo aide --check

Se tudo estiver bem nos diretórios e arquivos monitorados, você verá essa mensagem quando a checagem completar:

### All files match AIDE database. Looks okay!

AIDE também será executado todo dia pelo crontab /etc/cron.daily/aide e a saída dessa execução será enviada por e-mail para o usuário especificado na diretriz MAILTO= do arquivo de configuração /etc/default/aide detalhado acima.

Fontes

Informações adicionais sobre o AIDE e o monitoramento e verificação de integridade de arquivos são disponíveis nas seguintes fontes:

Fontes locais no sistema

man aide

Página do manual do sistema do aide

man aide.conf

Página do manual do sistema do arquivo de configuraçãoaide.conf

man aideinit

Página do manual do sistema do comando aideinit

man update-aide.conf

Página do manual do sistema do comando update-aide.conf

/usr/share/doc/aide/manual.html

O manual em formato HTML do AIDE

/etc/default/aide

O arquivo de configurações gerais do AIDE

/etc/aide/aide.conf

O arquivo de configurações de regras do AIDE

/etc/cron.daily/aide

Script diário do cron do AIDE

Outras ferramentas de Monitoramento e Integridade de Arquivo

  • BSign : Detecção de Intrusão e Corrompimentos usando embedded hashes.

  • Integrit : Pequeno impressor de notas, desacompanha monitoramento de integridade de arquivo com configurações de regras em cascata. Página na Internet: Integrit Website

  • Samhain : solução para monitoramento de integridade de arquivo de Standalone ou Servidor-Cliente. Página na Internet: Samhain

  • Systraq : Monitora e alerta sobre mudanças em arquivos. Página na Internet: Systraq

Fontes na Internet

Página do AIDE

Guia do CHKROOTKIT e do AIDE

Créditos

Original: File Integrity AIDE

Autor: Community Ubuntu

Tradutor: LuizAquino

Data: 14/03/2008



CategoryRevisada

FileIntegrityAIDE (last edited 2011-09-19 23:22:11 by localhost)