AIDE – instalacija host-based IDS-a na CentOS-u

IDS (Intrusion Detection System) jeste softver koji prati sumnjive radnje nad sistemom.

AIDE (Advanced Intrusion Detection Environment) jeste jedan od najjednostavnijih host-based IDS-ova (postoje i network based IDS-ovi) čija je namena praćenje osetljivih i sistemskih fajlova, i preporuka je da ga postavite na produkcioni server čim krene sa ozbiljnom produkcijom i sigurni ste da neće biti čestih instalacija/podešavanja na samom serveru (ili jednostavno neke fajlove možete izignorisati u AIDE konfiguracionom fajlu: /etc/aide.conf).

Detaljnije o AIDE na ovom linku: http://aide.sourceforge.net/

# Instalacija potrebnih paketa
yum install aide

# Ukoliko želite da sem sistemskih dodate još neke fajlove 
# ili foldere čije bi izmene trebalo pratiti uradite to u fajlu
vim /etc/aide.conf

# Inicijaln ostartovanje AIDE
aide --init
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

# Inicijalna provera (ne bi trebalo da javi neke probleme)
aide --check

# Ako želite proveriti kako radi AIDE promenite neki sistemski fajl ili folder, recimo...
touch /etc/nekibezvezetestnifajl.brisi
aide --check

Check

Ovu proveru bi bilo dobro da postavite da se izvršava na dnevnom nivou putem crontab-a

# Instalirajte mail klijent ako nemate
yum install mailx
# Provera slanja mejla (proverite spam folder)
echo "OK" | mail -s "TEST mail" vasamailadresa@gmail.com

# Postavite u crontab (izvršava se dva puta dnevno)
00  12,00  *  *  * /root/IDScheck.sh

# Sadržaj fajla /root/IDScheck.sh
cat /root/IDScheck.sh
#!/bin/sh
NA_MAIL="vasamailadresa@gmail.com"
mkdir -p /home/.AIDE_LOG
ARHIVA="/home/.AIDE_LOG/AIDE_arhiva.log" 
# Provera
/usr/sbin/aide --check > /tmp/tempAIDE.txt
if [ `cat /tmp/tempAIDE.txt | grep "All files match AIDE database. Looks okay" | wc -l` -ne 1 ] ; then
/bin/mail -s "AIDE - Ima potencijalnih problema, PROVERITI!!!" $NA_MAIL < /tmp/tempAIDE.txt
echo "------------------ `date +%d.%m.%Y_%H%M%S` --------------------" >> $ARHIVA
cat /tmp/tempAIDE.txt >> $ARHIVA
aide --update > /dev/null 2>&1 # Azuriranje baze najnovijim promenama
mv -f /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz # Instalacija nove baze
else
echo "`date` - Nema promena" > /tmp/aidelogtemp.log
fi
exit 0