« Scoprire se qualcuno ha violato il tuo computer »
Aide è un Intrusion Detection System (HIDS) e non è un tool per prevenire e bloccare le intrusioni come fa un firewall o un antivirus, ma un programma che monitorizza in maniera molto approfondita ogni cambiamento rilevante all’interno del sistema Unix.
Questo tutorial spiegherà il suo funzionamento e mostrerà i semplici passi per una corretta installazione su Ubuntu/Debian, ma lasciando a te lettore, il compito di approfondire e studiarsi la configurazione più adatta alle tue esigenze.
Molto probabilmente, molti di voi si saranno già attrezzati mettendo mano all’iptable o installando un antivirus se siete utenti exWindows o amministratori di sistema che devono monitorare cartelle condivise da più client. Ipotizzo che usiate anche password complesse, ma tuttavia non sapete cosa succede realmente al vostro sistema operativo, ne tanto meno se è realmente sicuro.
Come funziona AIDE:
Quando un malintenzionato viola un sistema, tra le prime cose che fa è quello di nascondere le proprie tracce, andare a rovistare tra i vostri file e rendere il computer un suo schiavo.
Per far questo deve necessariamente modificare i file principali del sistema con dei suoi; studiati per nascondere determinate informazioni. Il nome tecnico di questi programmi è RootKit, ne avevo già parlato tempo a dietro. Per la struttura che Unix fa dei binari e delle librerie, è facilmente controllabile il loro stato di qualità. Ecco perché in Windows non è esiste un programma paritario.
Aide si fotografa, se così la vogliamo dire, le principali cartelle di sistema. Si segna tutti i nomi dei file, e ne crea un hash equivalente che identifica ogni singolo file in maniera univoca a livello di byte. L’aggiunta di una virgola al file originale genera quindi un hash differente. E’ su questo che lavora Aide. Salva la lista degli hash e controlla se l’hash corrisponde a quelli che rileva nel sistema. Se la comparazione è giusta non accade nulla, in caso contrario si ha l’invio di un’E-mail d’allarme.
Installazione:
Da shell digitate:
sudo apt-get install aide
I rapporti sono spediti alla mail del sistema. Di default al root del localhost. Per modificare tale parametro modificate
/etc/default/aide
Il file di configurazione ovviamente è per un uso molto standard. Lo trovate su /etc/aide/aide.conf
Ovviamente se il db da controllare si trova sul computer è anch’esso soggetto a modifica. Per ovviare al problema basta dire ad AIDE di leggere il file da un device dove non è permessa la scrittura. Ad esempio il file sarà modificato da:
database=file:/var/lib/aide/aide.db
a
database=file:/media/cdrom/aide.db
Ovviamente su quel device indicato dovrà farci il db da controllare… altrimenti il sistema non funzionerà.
Dovrebbe entrare tutto su un floppy, tutta via sta sempre più andando a scomparire questo supporto e anche la degradazione dei dati non è da sottovalutarsi nel tempo. Consiglio quindi di usare un cd-RW e di tenerlo in un lettore che non sia, ovviamente, anche masterizzatore. Si ha il vantaggio che il controllo viene eseguito molto più rapidamente e non si dovrà temere di incorrere in un problema di inconsistenza dei dati. Personalmente io il test lo faccio eseguire una volta al giorno in orario notturno in modo che la mattina, se vedo la mail di AIDE, ho tutta la giornata per correre ai ripari.
Per automatizzare direttamente da cron digitate
crontab -e
aggiungere la seguente riga
01 * * * * aide -C
Per forzarlo ad eseguire un controllo basta dare:
/etc/cron.daily/aide
Note finali:
Da tre anni che sono sistemista e solo 2 volte ho ricevuto la mail da parte di AIDE su sistemi pubblici molto conosciuti, ma a livello privato mai avuto problemi. Si da per scontato che AIDE venga installato la prima volta su un sistema ritenuto sicuro, generalmente appena istallato. E’ chiaro che installarlo a computer ora mai compromesso è inutile.
Articoli simili e consigliati
