Scribd
Cargar
36 vistas20 páginas

Aide y Rkhunter

El documento describe la herramienta Rootkit Hunter y el sistema de detección de intrusos AIDE para monitorear la integridad del sistema en GNU/Linux. Rootkit Hunter busca rootkits de forma proactiva, mientras que AIDE genera una base de datos inicial del sistema de archivos y alerta sobre cambios al comparar con versiones posteriores. El documento explica cómo instalar, configurar y usar ambas herramientas para escanear el sistema y enviar alertas por correo electrónico sobre posibles amenazas.

Cargado por

Luis Roman
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PPTX, PDF, TXT o lee en línea desde Scribd
36 vistas20 páginas

Aide y Rkhunter

El documento describe la herramienta Rootkit Hunter y el sistema de detección de intrusos AIDE para monitorear la integridad del sistema en GNU/Linux. Rootkit Hunter busca rootkits de forma proactiva, mientras que AIDE genera una base de datos inicial del sistema de archivos y alerta sobre cambios al comparar con versiones posteriores. El documento explica cómo instalar, configurar y usar ambas herramientas para escanear el sistema y enviar alertas por correo electrónico sobre posibles amenazas.

Cargado por

Luis Roman
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PPTX, PDF, TXT o lee en línea desde Scribd
Está en la página 1/ 20

Integridad y Monitoreo del

Sistema
Utilizar en GNU/LINUX Rootkit Hunter

 Un rootkit es un software que permite el acceso a un servidor a terceros procurando pasar


.
inadvertido a los administradores del mismo. El usuario malicioso aprovechando alguna
debilidad del sistema instala el rootkit para posteriormente tener acceso total al sistema
mediante él.

 Rootkit Hunter es una herramienta que rastrea en el equipo servidor en busca de rootkits y
alerta al administrador de su presencia.
Instalación de rookit

Para instalar pondremos el siguiente comando:

wget http://
sourceforge.net/projects/rkhunter/files/rkhunter/1.4.2/rkhunter-1.4.2.tar.gz

Instalando Rkhunter

Una vez que haya descargado , ejecute los siguientes comandos como
usuario root para instalarlo.

tar -xvf rkhunter-1.4.2.tar.gz

cd rkhunter-1.4.2

./installer.sh --layout default --install
Instalación de rookit

Actualizando Rkhunter


/usr/local/bin/rkhunter --update

/usr/local/bin/rkhunter --propupd

Configurando Cronjob y Alertas via Email



Cree un archivo rkhunter.sh en /etc/cron.daily/, que escaneara su sistema de
archivos cada día y envía notificaciones por correo electrónico a su correo electrónico
de encontrar una anomalia. Cree siguiente archivo con la ayuda de su editor
favorito.

vim /etc/cron.daily/rkhunter.sh
Instalación de rookit

Añada las siguientes líneas de código y reemplazar “NombredeServidor” con su “Nombre del
servidor” y “tu@email.com” con su “Email”.

#!/bin/sh

(

/usr/local/bin/rkhunter --versioncheck

/usr/local/bin/rkhunter --update

/usr/local/bin/rkhunter --cronjob --report-warnings-only

) | /bin/mail -s 'rkhunter Daily Run (NombredeServidor)' root@localhost


Asignar permisos correspondientes

chmod 755 /etc/cron.daily/rkhunter.sh
Instalación de rookit
 Escanear
 Ejemplo de escaneo completo del equipo:

[root@dlp ~]# rkhunter --check --sk

[ Rootkit Hunter version 1.4.2 ]

Checking system commands...

Performing 'strings' command checks

Checking 'strings' command [ OK ]

Performing 'shared libraries' checks

Checking for preloading variables [ None found ]

Checking for preloaded libraries [ None found ]

Checking LD_LIBRARY_PATH variable [ Not found ]

Performing file properties checks

Checking for prerequisites [ OK ]

/usr/sbin/adduser [ OK ]

/usr/sbin/chkconfig [ OK ]

/usr/sbin/chroot [ OK ]

/usr/sbin/depmod [ OK ]
Escaneo especifico:

rkhunter -c --enable all


rkhunter --list
 En el caso de que vayamos a utilizar rkhunter de forma proactiva, es necesario
generar una base de datos en la que indiquemos a la herramienta el estado inicial (y
correcto) del sistema sobre el cual comparar futuros análisis.
 El comando para generar la base de datos es el siguiente:

 rkhunter --propupd
 [ Rootkit Hunter version 1.4.2 ]
 File created: searched for 171 files, found 11
 Después de cada cambio en la configuración hay que volver a actualizar la base de datos
de rkhunter, sino aparecerán alertas y errores:

 rkhunter --propup
Sistema de Deteccion de Intrusos AIDE Host Based IDS

 Aide
• AIDE (Entorno Avanzado de Detección de Intrusiones).
• Genera una base de datos que puede ser usada para verificar la
integridad de los archivos en el servidor. Usa expresiones regulares
para determinar que archivos son tomados para añadirlos a la base de
datos.
• El archivo de configuración crea una base de datos a partir de una serie
de reglas y expresiones regulares
Aide

 Para instalar AIDE ejecutar:


 Luego de la instalación, verificar la versión utilizando la opción --versión :
Aide

 El archivo /etc/aide.conf contiene la configuración de AIDE.


 Dentro del mismo es posible definir la ubicación donde almacenar las bases de
datos y las reglas de monitoreo para cada directorio.
 Para añadir los directorios agregar una linea como la siguiente:
 /ruta/a/mi/directorio NORMAL
 O bien indicar que no queremos comprobar un directorio:
 ! /esto/no/se/comprueba
 Para comenzar a utilizar AIDE es suficiente con las reglas que vienen definidas
por defecto, luego es posible ajustarlas para adecuarse al sistema (por ejemplo
configurar para que reporte mayor detalle sobre ciertos directorios, y menor
detalle sobre otros)
Aide

 Para inicializar la base de datos se debe ejecutar:


 aide --init
 AIDE, version 0.14
 ### AIDE database at /var/lib/aide/aide.db.new.gz initialized.

 Lo cual generara una nueva base de datos de archivos y directorios.


 Para generar un primer reporte de prueba se debe copiar la base de datos generada
con el nombre /var/lib/aide/aide.db.gz:

 cp /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Aide

 Para verificar los cambios en el sistema de archivos contra la base de datos /var/lib/aide/aide.db.gz
ejecutar:
 aide --check

 La versión 0.14 no tiene implementada la funcionalidad para el envío de mails, ni


los cron jobs para actualizar diariamente la base de datos, por lo que se debe crear un
script que relice esta tarea.
 El binario de AIDE se encuentra en /usr/sbin/aide:

 which aide
 /usr/sbin/aide
 Para que se envíe un reporte por mail y se actualice la base de datos una vez al día se
crea un script en el directorio /etc/cron.daily:

 touch /etc/cron.daily/aide
Generación Reporte Aide
 El script genera un reporte de modificaciones y luego actualiza la base de datos (para
que los cambios que encuentra AIDE se informen solamente una vez y no se
reporten nuevamente al día siguiente, salvo que se hayan repetido).
 vi /etc/cron.daily/aide
 #!/bin/sh
 servidor=$(hostname)
 destinatario=“root@localhost"
 # Generar reporte de cambios en el sistema de archivos
 reporte=$(/usr/sbin/aide --check)
 # Enviar reporte por mail
 asunto="Reporte diario AIDE para $servidor"
 echo "$reporte" | /bin/mail -s "$asunto" $destinatario
 # Actualizar la base de datos:
 /usr/sbin/aide --init
 cp -f /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Generación Reporte Aide
 Finalmente debe asignarse permiso de ejecución al script:
 chmod +x /etc/cron.daily/aide
 Es posible verificar el funcionamiento ejecutando:
 /etc/cron.daily/aide
 Debería recibir un correo electrónico con el reporte de AIDE, como por ejemplo:
 AIDE found differences between database and filesystem!!
 Start timestamp: 2012-12-26 12:25:22
 Summary:
 Total number of files: 75023
 Added files: 0
 Removed files: 0
 Changed files: 33
Generación Reporte Aide

 Hay que tener en cuenta que mientras no se actualice la base de datos de aide seguirá
reportanto fallos.
 Una vez solucionado generar un nuevo “snapshot” del estado del sistema para empezar
de 0:
 /usr/sbin/aide --update
 Para proteger un sistema de producción con AIDE , la mejor manera es programar un
trabajo cron para la comprobación de las incoherencias con AIDE periódicamente .
 Por ejemplo , para programar AIDE para correr y tener el resultado por correo a una dirección de
correo electrónico a diario :
 crontab -e

 0 0 * * * /usr/sbin/aide --check | /usr/bin/mail -s "AIDE run for $HOSTNAME" root@localhost


Escenario 1 Aide

 Vamos a crear un archivo :


 touch prueba
 Podemos ver que nos notifica que hay un archivo nuevo.
 Si queremos podemos actualizar la base de datos con los cambios.
 aide --update
 Si hacemos un cambio en un archivo veremos algo como esto. En este caso
modifique/etc/sysconfig/network
 vi /etc/sysconfig/network (modificar alguna linea)
 aide --check
 aide --update
 Vemos que nos da detalles de los cambios en el tamaño del archivo y fecha del
cambio.
Escenario 2 Aide

 Vamos a añadir un nuevo archivo:


 cat /dev/null > /etc/fake
 aide --check
Escenario 3 Aide

 Vamos a cambiar los permisos de los archivos, y ver si se puede detectar:

 chmod 644 /etc/aide.conf

 aide --check
Escenario 4 Aide
 Por ultimo, vamos a cambiar el contenido del archivo ( Por ejemplo una nueva línea en
/etc/aide.conf) :
 echo "#This is a comment" >> /etc/aide.conf
 aide --check
 aide --update

También podría gustarte