Verificar la Integridad con AIDE
Advanced Intrusion Detection Environment (Entorno Avanzado de Detección de Intrusión) (AIDE) es una utilidad que crea una base de datos de archivos en el sistema y después utiliza esta base de datos para asegurar la integridad de los archivos y detectar intrusiones en el sistema.
Instalar AIDE
-
Para instalar el paquete aide:
$ sudo dnf install aide -
Para generar una base de datos inicial:
$ sudo aide --init Start timestamp: 2018-07-11 12:35:47 +0200 (AIDE 0.16) AIDE initialized database at /var/lib/aide/aide.db.new.gz Número de apuntes:→ 150.666 ------------------------------------------------------------------ Los atributos de base de datos (sin comprimir): ------------------------------------------------------------------ /var/lib/aide/aide.db.new.gz MD5 : 0isjEPsCORFk7laoGGz8tQ== SHA1 : j0aPLakWChM+TAuxfVIpy9nqBOE= RMD160 : nYyyx0AGZj4e5rwcz77afasXFrw= TIGER : IBVo5A2A4En1kM6zDjD/MnlkN4QWeSOw SHA256 : YveypaI9c5PJNvPSZf8YFfjCMWfGUA8q vyqLpLJWY0E= SHA512 : TiUYmHYflS3A+j17qw5mW78Fn2yXLpCF 1LE1/RhiqqtMn1MjkKDrr+3TE+/vWfa4 7253cDhNmC6hoFndkS67Xw== Sello Fecha/hora final: 2018-07-11 12:37:35 +0200 (tiempo de ejecución: 1m 48s)
El la configuración por defecto, la instrucción aide --init comprueba tan solo un conjunto de directorios y archivos definidos en el archivo /etc/aide.conf. Para incluir directorios adicionales o archivos en la base de datos AIDE, y para cambiar sus parámetros de vigía, edite /etc/aide.conf para ajustarlo.
|
-
Para comenzar utilizando la base de datos, quite la subcadena
.newdesde el archivo de base de datos inicial con el nombre:$ sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz -
Para cambiar el lugar de la bvase de datos de AIDE, edite el archivo
/etc/aide.confy modifique el valorDBDIR. Para seguridad adicional, almacene la base de datos, configuración, y el archivo binario/usr/sbin/aideen un lugar seguro tal como un medio de solo lectura.To avoid SELinux denials after the AIDE database location change, update your SELinux policy accordingly. See the Changing SELinux states and modes guide for more information.
Realizar Comprobaciones de Integridad
Para comenzar una comprobación manual:
$ sudo aide --check
Inicio de sello fecha/hora: 2018-07-11 12:41:20 +0200 (AIDE 0.16)
AIDE ha encontrado diferencias entre la base de datos y el sistema de archivos.
Resumen:
Número total de apuntes: 150.667
Apuntes añadidos: 1
Apuntes quitados: 0
Apuntes modificados: 2
---------------------------------------------------
Apuntes añadidos:
---------------------------------------------------
f++++++++++++++++: /etc/cups/subscriptions.conf.O
…
[salida truncada]Como mínimo, AIDE estaría configurado para ejecutar un análisis semanalmente. Como mucho, AIDE estaría ejecutándose diariamente. Por ejemplo, para planificar una ejecución diariamente de AIDE en 04:05 a.m. utilice la instrucción cron.
Añada la siguiente línea al archivo /etc/crontab:
05 4 * * * root /usr/sbin/aide --checkActualizando una Base de datos AIDE
Tras verificar que los cambios de us sistema, como actualizar paquete o ajustes de archivos deconfiguración, actualice su línea base de la base de datos AIDE:
$ sudo aide --updateLa instrucción aide --update crea el archivo de la base de datos /var/lib/(aide(aide.db.new.gz. Para iniciar utilizándolo para comprobantes de integridad, retire la subcadena `.new`del nombre del archivo.
Want to help? Learn how to contribute to Fedora Docs ›