Como verificar a integridade com AIDE no Fedora
AIDE (Advanced Intrusion Detection Environment) é um programa para verificar a integridade de um arquivo e diretório em qualquer sistema moderno do tipo Unix. Ele cria um banco de dados de arquivos no sistema e, em seguida, usa esse banco de dados como parâmetro para garantir a integridade dos arquivos e detectar intrusões no sistema.
Neste artigo, mostraremos como instalar e usar o AIDE para verificar a integridade de arquivos e diretórios na distribuição Fedora.
Como instalar o AIDE no Fedora
1. O utilitário AIDE está incluído no Fedora Linux por padrão, portanto, você pode usar o gerenciador de pacotes dnf padrão para instalá-lo conforme mostrado.
sudo dnf install aide
2. Após a conclusão da instalação, você precisa criar o banco de dados AIDE inicial, que é um instantâneo do sistema em seu estado normal. Este banco de dados atuará como parâmetro contra o qual todas as atualizações e alterações subsequentes serão medidas.
Observe que é importante criar o banco de dados em um novo sistema antes de colocá-lo na rede. E em segundo lugar, a configuração padrão do aide permite verificar um conjunto de diretórios e arquivos definidos no arquivo /etc/aide.conf. Você precisa editar este arquivo adequadamente para configurar mais arquivos e diretórios a serem monitorados pelo assessor.
Execute o seguinte comando para gerar o banco de dados inicial:
sudo aide --init
3. Para começar a usar o banco de dados, remova a substring .new do nome inicial do arquivo do banco de dados.
sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
4. Para proteger ainda mais o banco de dados AIDE, você pode alterar seu local padrão editando o arquivo de configuração e modificando o valor DBDIR e apontando-o para o novo local do banco de dados.
@@define DBDIR /path/to/secret/db/location
Para segurança adicional, armazene o arquivo de configuração do banco de dados e o arquivo binário /usr/sbin/aide em um local seguro, como uma mídia somente leitura. É importante ressaltar que você pode de fato aumentar a segurança assinando a configuração e/ou banco de dados.
Executando verificações de integridade no Fedora
5. Para verificar manualmente o sistema Fedora, execute o seguinte comando.
sudo aide --check
A saída do comando acima mostra diferenças entre o banco de dados e o estado atual do sistema de arquivos. Ele mostra um resumo das entradas e informações detalhadas sobre as entradas alteradas.
6. Para um uso eficaz, você deve configurar o AIDE para ser executado como um cron job, para realizar verificações agendadas, seja semanalmente (no mínimo) ou diariamente (no máximo) .
Por exemplo, para agendar uma verificação à meia-noite todos os dias, adicione a seguinte entrada cron no arquivo /etc/crontab.
00 00 * * * root /usr/sbin/aide --check
Atualizando um banco de dados AIDE
7. Após confirmar as alterações em seu sistema, como atualizações de pacotes ou modificações em arquivos de configuração, atualize seu banco de dados AIDE de linha de base com o seguinte comando.
sudo aide --update
O comando aide --update cria um novo arquivo de banco de dados /var/lib/aide/aide.db.new.gz. Para começar a usá-lo em verificações futuras, você precisa renomeá-lo conforme mostrado anteriormente (remova a substring .new do nome do arquivo).
Para obter informações adicionais sobre o AIDE você pode verificar sua página de manual.
man aide
Para outras distribuições Linux, você pode conferir: Como verificar a integridade de arquivos e diretórios usando “AIDE” no Linux.
AIDE é um utilitário poderoso para verificar a integridade de arquivos e diretórios em sistemas operacionais do tipo Unix, como o Linux. Neste artigo, mostramos como instalar e usar AIDE no Fedora Linux. Você tem alguma pergunta ou comentário sobre AIDE? Em caso afirmativo, use o formulário de feedback para entrar em contato conosco.