Guia de Trabajo Comandos AIDE y RKHUNTER-6

TAREA 6: AIDE y rkhunter
1. Describa, documente y tome imagenes del proceso de inicialización del aide
Se debe generar la base de datos de carpetas / archivos sobre los que queremos
notificaciones, por lo que se debe Inicializar AIDE con el siguiente comando como root #aide –
init
Esto creará la base de datos por primera vez. A continuación, ejecute estos comandos como
root: #cd /var/lib/aide #mv aide.db.new.gz aide.db.gz O de una forma más directa:
# move /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Ejecutamos aide --init

El cambiar la localización de la base de datos de AIDE, es para adicionar seguridad al
almacenamiento de la base de datos, configuración
a. Ahora se requiere que el progama AIDE inspeccione nuestros archivos por primera vez, por
lo que se debe ejecutar los siguientes comandos:
Ejecutamos aide –chec
Con el comando anterior hemos realizado una actualización y observamos que se genera
un nuevo archivo en el que debería contener las actualizaciones que se han hecho en el
tiempo
En el caso que se haya modificado algún archivo y chequeamos nos muestra:
Eliminamos el primero archivo, para poder renombrar el nuevo actualizado que pasara a
ser el nuevo archivo original.
2. Cree una tarea programada que haga un aide --update cada día y llege a su mail
el resultado (no al mío!)
Ingresar en vi /etc/crontab
2.2. Ejecutar luego el siguiente comando para programas una tarea de chequeo todos los días
a las 24:00
Creamos el aidecheck.sh para que nos genere un archivo de chequeo, como se especificó en la
imagen anterior:
Esto hará que AIDE compruebe y le envíe un correo electrónico una vez al día si detecta que se
ha modificado un archivo.
Realizando una prueba más: Con el comando #touch /usr/sbin/mytestfile.txt; Creo un archivo
de prueba Realizo un aide –check
Luego aide –update

3. Instale y documente el proceso de actualizar el rkhunter
#yum instalar epel-release
b) Instalación de Rootkit Hunter

Una vez instalado el repositorio EPEL, se debe ejecutar el comando siguiente:
#yum install rkhunter
c) Actualizar la base de datos
#rkhunter – update
Actualizar las propiedades del archivo del sistema
Automatizar el cazador de Rootkit Rkhunter puede ser configurado para ejecutar cheques
todos los días para que siempre tengamos información actualizada sobre intrusiones. Esto se
puede lograr creando un cronjob.
Automatizar el cazador de Rootkit

Crear archivo Cron Cree el archivo de ejecución en la siguiente ubicación:
#vi /etc/cron.daily/rkhunterscan.sh
Establecer permisos de ejecución
4. Documente el proceso de ejecutar el rkhunter cada día
Realizar la programación en el crontab para la ejecución una vez al día, y al detectar una
amenaza, el rkhunter enviara un mensaje de correo electrónico.
Configuración de Rootkit Hunter

Para configurar el archivo de rkhunter se ejecuta el siguiente comando:
# vi /etc/rkhunter.conf
Configuración de notificaciones por correo

Las notificaciones de correo electrónico se habilitan editando el valor MAIL-ON-WARNING
como se indica a continuación.
MAIL-ON-WARNING = username@domainname.com
Inicio de sesión de root SSHDi
El parámetro ALLOW_SSH_ROOT_USER le dice a rkhunter si el usuario root puede o no
conectarse al sistema por ssh. Por defecto, el archivo rkhunter.conf tiene unset. Si desea
desactivar el root login, debe establecer este parámetro en "no".
ALLOW_SSH_ROOT_USER = no
Si necesita iniciar sesión root a través de SSH, debe cambiar este parámetro a "yes":
ALLOW_SSH_ROOT_USER = yes
Las prácticas de seguridad recomiendan deshabilitar el inicio de sesión de root.
Los scripts conocidos de la lista blanca
El parámetro SCRIPTWHITELIST puede configurarse para indicar a rkhunter que los archivos
especificados son seguros. Esto evitará que estos archivos desencadenen falsos positivos en
todas las comprobaciones posteriores.
SCRIPTWHITELIST = /usr/bin/ldd
Actualización rkhunter
Para comprobar la versión instalada, ingrese lo siguiente:
#rkhunter –versioncheck
Para actualizar ejecute el siguiente comando:
# rkhunter -- update
Con los archivos de base de datos actualizados, necesitamos decirle a rkhunter que compruebe
los valores actuales y los almacene como valores conocidos:
#rkhunter –propupd
Escaneo manual
Puede iniciar una exploración manual emitiendo el siguiente comando:
#rkhunter -c
Los resultados de la exploración se muestran de la siguiente manera:

Al ejecutar rkhunter en modo interactivo al final de una exploración en particular, tendrá que
pulsar 'enter' para continuar. Si desea "salto automático" modo interactivo, agregue la opción
-sk al final:
#rkhunter -c -sk

Guia de Trabajo Comandos AIDE y RKHUNTER-6

Cargado por

Copyright:

Formatos disponibles

Guia de Trabajo Comandos AIDE y RKHUNTER-6

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Guia de Trabajo Comandos AIDE y RKHUNTER-6

Cargado por

Copyright:

Formatos disponibles

TAREA 6: AIDE y rkhunter

1. Describa, documente y tome imagenes del proceso de inicialización del aide

# move /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Ejecutamos aide --init

Ejecutamos aide –chec

En el caso que se haya modificado algún archivo y chequeamos nos muestra:

Luego aide –update

#yum instalar epel-release

b) Instalación de Rootkit Hunter

Actualizar las propiedades del archivo del sistema

Automatizar el cazador de Rootkit

4. Documente el proceso de ejecutar el rkhunter cada día

Configuración de Rootkit Hunter

Configuración de notificaciones por correo

Las prácticas de seguridad recomiendan deshabilitar el inicio de sesión de root.

Los scripts conocidos de la lista blanca

Para comprobar la versión instalada, ingrese lo siguiente:

Para actualizar ejecute el siguiente comando:

Puede iniciar una exploración manual emitiendo el siguiente comando:

Los resultados de la exploración se muestran de la siguiente manera:

También podría gustarte