Configurando um sistema de detecção de intrusões Linux com AIDE
Um sistema de detecção de intrusão (IDS) é uma importante ferramenta de segurança para administradores de sistema. O seu objetivo é notificar-nos sempre que detetar que ocorreu uma potencial intrusão. Quando um invasor compromete um sistema, uma das primeiras coisas que geralmente faz é tentar alterar as permissões de arquivo, tentar escalar para a conta de usuário root ou começar a modificar os arquivos do sistema. O IDS está configurado para monitorar essas mudanças e nos alertar sobre elas caso ocorram.
Sem um sistema de detecção de intrusão, pode ser difícil reconhecer alguns dos sintomas que indicam que um usuário obteve acesso ilícito ao sistema. Neste tutorial, abordaremos as etapas de instalação e configuração do AIDE (Advanced Intrusion Detection Environment), que é um IDS gratuito baseado em host. Veremos como o AIDE funciona e como podemos aproveitá-lo para manter o controle da segurança do nosso sistema. Vamos começar!
Neste tutorial você aprenderá:
- Como instalar o AIDE nas principais distribuições Linux
- Como inicializar o AIDE
- Como verificar arquivos do sistema com AIDE
- Como configurar o cron para executar o AIDE de acordo com uma programação
- Como atualizar o banco de dados AIDE
Instalação AIDE
VOCÊ SABIA?
Um Sistema de Detecção de Intrusão (como o AIDE) apenas tentará detectar intrusos, mas não trabalhará ativamente para bloquear seu acesso no primeiro lugar. Compare isso com um Sistema de Prevenção de Intrusões (IPS), que trabalha ativamente para bloquear ameaças e monitorar o acesso do usuário. Recomenda-se empregar ambos em sua configuração, bem como medidas adicionais de proteção.
AIDE está disponível para todas as principais distribuições Linux. O comando para instalá-lo irá variar de acordo com o sistema, mas após a instalação, a configuração será o mesmo processo independente de qual distro você está executando.
Você pode usar o comando apropriado abaixo para instalar o AIDE com o gerenciador de pacotes do seu sistema.
Para instalar o AIDE no Ubuntu, Debian e Linux Mint:
$ sudo apt install aide
Para instalar o AIDE no Fedora, CentOS, AlmaLinux e Red Hat:
$ sudo dnf install aide
Para instalar o AIDE no Arch Linux e Manjaro, ele deve ser instalado através do Arch User Repository:
$ git clone https://aur.archlinux.org/aide.git
$ cd aide
$ makepkg -si
Durante a instalação, você será perguntado se deseja inserir configurações para um servidor de e-mail. Isso ocorre para que o AIDE possa enviar um e-mail ao administrador do sistema caso detecte uma intrusão.
Isso sempre pode ser configurado posteriormente, se você não tiver as informações em mãos. Caso não queira aplicar nenhuma configuração, basta escolher ‘Sem configuração’ e prosseguir com a instalação. Caso contrário, selecione a opção que se aplica à sua configuração e insira todas as informações do servidor de e-mail para o AIDE usar.
Após a instalação, podemos prosseguir com a edição da configuração do AIDE abaixo.
Configurando e executando o AIDE
AIDE funciona armazenando os valores da soma de verificação para muitos arquivos importantes do sistema em um banco de dados. As somas de verificação dos arquivos são verificadas regularmente para verificar se houve alguma alteração. Se o AIDE detectar uma nova soma de verificação, ele alertará o administrador do sistema.
O arquivo de configuração do AIDE está armazenado em /etc/aide/aide.conf
. Não é apenas aqui que podemos alterar as configurações do programa, mas também adicionar arquivos adicionais para o AIDE monitorar, caso queiramos verificar arquivos além dos padrões.
-
Abra o arquivo no nano ou em seu editor de texto preferido para fazer as alterações desejadas:
$ sudo nano /etc/aide/aide.conf
A próxima coisa que precisamos fazer é gerar um banco de dados inicial para AIDE. Isso armazenará as somas de verificação de todos os arquivos que configuramos para monitorar, além dos arquivos padrão das configurações. Use a opção
--config
e especifique o arquivo de configuração padrão ou um diferente se você fez uma cópia, bem como a opção--init
(inicializar):$ sudo aide --config /etc/aide/aide.conf --init
Dependendo do seu sistema, isso pode demorar um pouco. A geração de somas de verificação é um processo que consome muitos recursos.
AIDE deve indicar a localização do novo banco de dados em sua saída:
AIDE initialized database at /var/lib/aide/aide.db.new
O
.new
no final do nome precisará ser removido para que o AIDE comece a usar este banco de dados como referência:$ sudo mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db
Observe que esse local padrão pode ser alterado dentro do arquivo de configuração, se desejar.
Para acionar uma verificação com AIDE, execute-a com a opção
--check
.$ sudo aide --check --config /etc/aide/aide.conf
-
Além de fazer verificações manuais com o comando acima, também podemos configurar o cron para executar as verificações em um intervalo predeterminado (noturno, semanal, etc.).
$ sudo crontab -e
A seguinte linha no cron instruiria o AIDE a executar uma verificação todas as noites às 23h:
0 11 * * * aide --check --config /etc/aide/aide.conf
Sempre que você fizer edições nos arquivos do sistema, ou especialmente após executar uma atualização do sistema ou instalar novos programas, é necessário verificar novamente todos os arquivos importantes e atualizar suas somas de verificação no banco de dados AIDE. Caso contrário, o AIDE verificará os arquivos em relação aos dados de soma de verificação antigos e alertará você de que muitos arquivos foram alterados. Isso seria um falso positivo, já que os próprios administradores do sistema eram responsáveis pela alteração dos arquivos. Execute o AIDE com a opção
--update
para gerar novos checksums para o banco de dados:$ sudo aide --update --config /etc/aide/aide.conf
Considerações finais
Neste tutorial, vimos como configurar um sistema de detecção de intrusão usando AIDE em um sistema Linux. Este IDS nos permite monitorar alterações em arquivos importantes do sistema. Alterações não intencionais podem indicar que um invasor comprometeu o sistema ou que um programa malicioso está modificando arquivos. O AIDE alerta os administradores do sistema sobre esses problemas e cabe a eles tomar medidas adicionais para proteger o sistema.