History

Guía de configuración de AIDE en catellano

AIDE es un sistema de detección de intrusiones. Básicamente genera firmas de verificación de los ficheros importantes del sistema y periódicamente las compara con una BBDD firmada, de forma que si se produce una intrusión y alguien modifica un fichero de sistema, se detectaría en la siguiente comprobación.

Descripción

Todas las máquinas ModularIT utilizan AIDE para generar una BBDD de firmas de verificación de los ficheros críticos del sistema. Periódicamente se realiza una comprobación para detectar si alguno de estos ficheros a cambiado, lo que podría indicar una modificación no autorizada en el sistema.

Para evitar que un atacante pueda modificar la BBDD de firmas de verificación, esta base de datos va firmada mediante gpg.

Inicialización del sistema

Para empezar a trabajar con el sistema es necesario generar un par de claves GPG y generar la BBBDD:
  • Generar la clave GPG de firma
  gpg --gen-key
  • Inicializar la BBDD de AIDE
  aide --init
  • Activamos la nueva BBDD
  mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
  • Firmar la BBDD
  gpg --detach-sign /var/lib/aide/aide.db.gz
  • Firmar el fichero de configuración
  gpg --detach-sign /etc/aide.conf
  • Para comprobar la integridad:
  aidecheck
  • Si hemos realizado nosotros los cambios y queremos actualizar la BBDD:
  aideupdate

Distribución de claves

En lugar de crear una clave para cada máquina, podemos tener una y distribuirla a todas las máquinas. Por seguridad es recomendable que además de la clave de acceso que ya tiene, el fichero con la clave exportada que vamos a distribuir este cifrado.
  • Exportar la clave en la maquina donde se ha creado:
  gpg --export-secret-keys --armour > secret.keys
  • Cifrar el fichero con cifrado simetrico
  gpg --symmetric --armour secret.keys
Ahora distribuimos el fichero secret.keys.asc a las maquinas que gestionamos, y en ellas debemos importar la clave:
  • Desciframos el fichero con la clave del paso 2 anterior
  gpg --decrypt secret.keys.asc > secret.keys
  • Importamos las claves
  gpg --import secret.keys
  • Edit trust for the key:
  gpg --edit-key "nombre de usuario"
  • En el prompt teclear el comando trust y seleccionar la opcion 5 (confiar siempre)
  • Podemos comprobar el estado de confianza con:
  gpg --list-trust

Also available in: HTML TXT