Hoje veremos como instalar e configurar o AIDE, ele nos ajudara a monitorar os arquivos foram modificados do sistema, assim podemos saber quais foram modificados nos últimos dias, horas e ou minutos, vai que o estagiário pegou a senha do root, e ficou brincando de yum install, rm aqui, nc aqui, ./scriptizinho.sh ali...
apt-get install aide
ou
yum install aide
Diretório padrão é o /etc/aide
Arquivo principal de configuração, não vamos modificar nada, ao menos que você deseja mudar o local onde ficaram salvos os relatórios.
# cat aide.conf
Pasta contendo as principais regras, para pegar informação, sobre as alterações, nela encontramos vários nomes conhecidos, squid, bind, postgrey, neles contém informações sobre os aplicativos, caminho do .conf, caminho de logs...
# cd aide.conf.d/
Importante seria ignorar os arquivos que são modificados frequentemente, como logs de squid, logs do apache... entre esses.
Para ignorar edite o arquivo aide.conf
# vim aide.conf
nele insira a seguinte
# Ignorando toda pasta /var/log
!/var/log/.*
Feito isso, rode o seguinte comando
# update-aide.conf
Ele ira gerar um arquivo em /var/lib/aide/ chamado aide.conf.autogenerated como se fosse um único arquivo de configuração, que vai ser usado pelo aide mais adiante.
Para gerar o banco de dados com as informações dos arquivos, utilize o seguinte comando. Vai demorar alguns minutos, talvez hora, depende da quantidade de arquivos, e da sua configuração.
# aideinit
Após algumas horas no meu caso HEHEHEHHEH, o bixo acabou, o resultado foi o seguinte
# aideinit
Running aide --init...
AIDE, version 0.15.1
### AIDE database at /var/lib/aide/aide.db.new initialized.
Vamos testar para ver se ta funcionando realmente.
# touch capeta.sh
# chmod 777 capeta.sh
# rm -rf capeta.sh
para fazer a checagem
# aide -C --config=/var/lib/aide/aide.conf.autogenerated | tee /var/tmp/resultado.aide
# cat /var/tmp/resultado.aide | grep capeta.sh
added: /var/tmp/capeta.sh
removed: /var/tmp/capeta.sh
Bons estudos, e aproveitem para verificar a segurança do servidor de vocês.
abraços marcos carraro
Nenhum comentário:
Postar um comentário