A.I.D.E. (Advanced Intrusion Detection Environment)

Publié le par titeuf

Présentation

A.I.D.E. (Advanced intrusion detection environment) est en fait un programme de détection d'intrusion ou un vérificateur de quelconques modifications ou comportements suspects du système.

Action

Alors que fait le logiciel :

Il faut d'abord configurer le fichier aide.conf avec votre éditeur de choix (kwrite ou autre) et y ajouter les règles de votre choix. Ensuite on initialise la base de donnée et c'est ici que AIDE intervient en analysant vos règles pour ainsi détecter les futurs modifications de fichiers (permission, utilisateur,md5 etc...). Enfin on lance la vérification à ses souhaits, par exemple toutes les semaines.

Installation

1Installer A.I.D.E. par le CCM ou (sous root) urpmi AIDE.

aide_1.png

2Création (sous root) du fichier aide.conf avec kwrite ou autre, ouvrez la console et déplacez-vous dans le dossier: /etc → cd /etc et inscrivez : kwrite etc/aide.conf.

aide_2.png

On insère les règles suivantes et sauve le fichier :

Rule = p+i+u+g+n+s+md5

/etc p+i+u+g
/sbin Rule
/bin Rule
/user/local/apache/conf Rule
/var Rule
!/var/spool/.*
!/var/log/.*

aide_3.png

Ici nous avons une règle « Rule » qui supervise les permissions (p), les inodes (i), les utilisateurs (u), les groupes (g), les nombres de liens (l), la taille (s) et le md5 (md5). Cette règle s'applique aux fichiers que contiennent les dossiers /bin, /sbin, /var, et /usr/local/apache/conf. Quant au dossier /etc nous n'appliquons pas toute la règle, juste quelques vérifications car la taille (s) et les autres arguments peuvent changer souvent. Les dossiers /var/spool et /var/log ne sont pas analysés, car ils subissent trop de varations.

Vous pouvez adapter ce aide.conf selon votre configuration et vos besoins: man aide.conf

3On initialise A.I.D.E. avec la commande suivante: aide --init ce qui donne l'ordre de créer la base de données avec les règles du aide.conf et un fichier aide.db.new voit le jour dans /var/lib/aide.

aide_4.png

4Renommer aide.db.new en aide.db→mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db

aide_5.png

5A.I.D.E. est prêt à l'emploi, on peut le lancer par exemple tous les 15 jours, en tapant « aide ».

aide_6.png

PS: On peut pousser la sécurité à l'extrême en copiant la base de donnée avec l'executable sur une clé USB pour avoir juste le droit de lecture.

 

Pour être informé des derniers articles, inscrivez vous :

Commenter cet article