Use o AIDE para saber se o seus sistema foi alterado por alguém.
A Ferramenta AIDE (Ambiente Avançado de Detecção de Intruso) é uma ferramenta que identifica se o seu sistema foi invadido e alterado por alguém. Para fazer isso ele cria uma base de dados para fazer comparações posteriores do seu sistema de arquivos. Após a instalação do SO, é recomendado criar essa base. Ele utiliza diversos algoritmos que verificam o conteúdo dos arquivos e várias outras características, como permissões, UID, GID, hora de modificação, entre outros.
Para instalar o AIDE no Ubuntu,, abra o terminal e digite ou cole o comando:
sudo apt-get install aide
Após a instalação, você deve verificar se existe uma base, para isso verifique se o arquivo “aide.db” está dentro de “/var/lib”:
ls /var/lib/aide/
Caso a saída do comando abaixo seja o arquivo “aide.db” você pode pular o passo abaixo, caso seja “aide.db.new”, então execute o comando:
aide -i
sudo mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db
Com esse comando ele irá criar a base inicial, que servirá para as comparações posteriores.
Agora inicie o banco:
sudo aide –init
Você pode criar políticas de verificações e colocar no CRONTAB para gerar relatórios.
Veja no exemplo baixo uma saída de verificação:
sudo aide -c
O resultado será armazenado em “/var/log/aide.log”.
Até a próxima!!!
Nenhum comentário:
Postar um comentário