Para una capa adicional de seguridad en su sistema CentOS, debería considerar la instalación de un Entorno de Detección Avanzada de Intrusos. Averigüe por qué.
Si ha desplegado un servidor CentOS, querrá asegurarse de que sea lo más seguro posible. Como se trata de Linux, hay mucho que puedes hacer para endurecer aún más la plataforma. Una de las capas de seguridad que puede agregar es a través de una herramienta de detección de intrusos, que servirá como un control avanzado de la integridad de archivos y carpetas.
Más información sobre ciberseguridad
Para CentOS, uno de los sistemas de detección de intrusos más populares es AIDE. Este sistema en particular crea una base de datos para ser usada para verificar la integridad de los archivos en su máquina. Las principales características de AIDE son:
- Soporta algoritmos de digestión md5, sha1, rmd160, tiger, crc32, sha256, sha512
- Soporta estos tipos de archivo: permisos, Inode, UID, GID, nombre del enlace, tamaño, número de bloques, número de enlaces, mtime, ctime y atributos de archivo atime.
- Soporta estos atributos del sistema de archivos: Posix ACL, SELinux, XAttrs y Extended
- Soporta expresiones regulares para incluir o excluir selectivamente archivos/directorios
- Soporta compresión de base de datos GZIP
Vamos a instalar AIDE en CentOS 7 y ver cómo hacerlo funcionar.
VER: Protección de la política de Linux (Tech Pro Research)
Instalación de AIDE
Como AIDE se puede encontrar en los repositorios estándar, la instalación es tan simple como esto.
- Abra una ventana de terminal.
- Emita el comando su y, cuando se le solicite, introduzca su contraseña de administrador.
- Emita el comando yum install aide.
- Acepte la instalación escribiendo y.
- Permita que la instalación se complete.
Ahora que AIDE está instalado, tiene que comprobar y verificar la versión de AIDE con el comando aide -v. El comando reportará el número de versión, las opciones compiladas y la ubicación del archivo de configuración (.
AIDE está instalado y listo para funcionar.
Generación de la base de datos
Lo primero que debe hacer con AIDE es generar una base de datos. Puede generar la base de datos utilizando el archivo de configuración por defecto (está muy bien hecho. Si desea ajustar el archivo /etc/aide.conf, ábralo en su editor favorito y busque la sección de directorios, donde puede añadir/quitar directorios para ser monitorizados. Fuera de eso, no tocaría el archivo de configuración.
La sección de inclusión en el directorio tendrá el siguiente aspecto:
boot /boot NORMAL
/bin NORMAL
/bin NORMAL
/lib NORMAL
/lib64 NORMAL
/optativo NORMAL
/usr NORMAL
/raíz NORMAL
Esto define los directorios a ser monitoreados, usando un hash normal (R+rmd160+sha256+whirlpool) por AIDE. Abajo encontrará el directorio /etc listado, monitoreado con el hash de PERMS (p+i+u+g+acl+selinux); puede agregar o quitar directorios de esa sección. Para más información sobre los hashes de AIDE, lea la parte superior del archivo de configuración /etc/aide.conf.
Con la configuración editada, ahora debe generar la base de datos. Para ello, ejecute el comando aide -init. La generación de la base de datos tomará un tiempo. Una vez que se complete, AIDE le informará que la generación de la base de datos se ha completado.
Ejecución de una verificación
Cuando inicialice la base de datos, creará /var/lib/aide/aide.bb.new.gz. Esto se hace porque puede inicializar una base de datos en cualquier momento. Sin embargo, para ejecutar una comprobación con AIDE, la base de datos debe encontrarse en /var/lib/aide/aide.bb.gz. Para resolver esto, debe renombrar la base de datos recién creada con el comando:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Una vez que se haya encargado de eso, emita el comando -verificar. La verificación en sí llevará una cantidad considerable de tiempo, así que apártese y ocúpese de alguna otra tarea. Cuando el chequeo de AIDE se complete, generará un informe que usted podrá revisar (.
Ver el informe de AIDE.
Pruebas de AIDE
Vamos a probar la precisión de AIDE. Cree el fichero ficticio /usr/bin/aidetest y vuelva a ejecutar el comando aide -check. En el informe resultante, debe ver los resultados de la suma (.
El archivo falso reportado.
Después de revisar el informe y verificar los cambios, siempre es bueno crear una nueva base de datos; de lo contrario, ese cambio continuará siendo reportado contra la base de datos original. Así que volviendo al comando aide -init vamos a crear la nueva base de datos. Una vez completado, tendrás que renombrarlo de nuevo con el comando:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Compruebe regularmente
Desafortunadamente, AIDE no incluye la capacidad de automatizar la tarea de ejecutar una comprobación. Puede crear un script bash para ejecutar la comprobación y configurarlo como un trabajo cron. Para hacer esto, usted podría hacer que AIDE volcara los resultados en un archivo que usted podría revisar regularmente. Un ejemplo de un script de bash se vería como:
#!/bin/sh#aide checkDATE=`date +%Y-%m-%d`aide --check > /tmp/aidecheck_$DATE.txt
Guarda ese archivo, dale permisos ejecutables con el comando chmod +x FILENAME (FILENAME es el nombre de tu script), y luego agrega un trabajo cron para ejecutar regularmente el script.
Tanto si automatiza AIDE como si no, le correspondería realizar comprobaciones periódicas del estado actual de su sistema de ficheros.
A debe tener
Necesita seguridad para cualquier servidor Linux; incluso si tiene una red increíblemente reforzada, eso no significa que algo pueda pasar desapercibido. Instale AIDE en sus máquinas Linux y utilícelo regularmente y con prudencia para mejorar su juego de seguridad.
Boletín informativo de consejotecnologico.com
Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves