Rilevare intrusioni in un sistema Linux – AIDE

Aide è un’applicazione open source per il rilevamento delle intrusioni tramite il controllo del filesystem.
Aide rileva se ci sono state modifiche nei file binari presenti nel sistema e se questi sono stati sostituiti

Per insallare AIDE su ubuntu possiamo utilizzare i seguenti comandi
# apt-get update
# apt-get install aide

Una volta terminata l’installazione è possibile modificare la configurazione utilizzando il file /etc/aide/aide.conf

Utilizzando il comando
# aideinit
viene creato un nuovo database nella directory specificata dal parametro database_outlocation del file /etc/aide/aide.conf.

Il nuovo database deve essere copiato nella director corretta
# cp /var/lib/aide/aide.db.new /var/lib/aide/aide.db

A questo punto è possibile eseguire un controllo manuale
# aide -c /etc/aide/aide.conf –check

Di default AIDE crea uno script in /etc/cron.daily/aide che viene eseguito ogni giono e verifica l’integrità del sistema e se rileva problemi invia una mail.
Di default la mail viene inviata all’utente root ma è possibile specificare un altro utente inserendo il paramentro MAILTO nel file /etc/default/aide

MAILTO=mail@mail.local

Per evitare che AIDE segnali problemi in seguito all’esecuzione degli aggiornamenti è necessario eseguire questi comandi quando si aggiornano le applicazioni o si cambiano i file di configurazione

# aideinit
# cp /var/lib/aide/aide.db.new /var/lib/aide/aide.db
# aide -c /etc/aide/aide.conf –check