1.

INSTALACION Y CONFIGURACION AIDE

AIDE es un sistema de deteccin de intrusiones, el cual crea una base de datos de
checksums MD5, permisos y algunos otros detalles de archivos en el sistema operativo
Linux. Esta base de datos puede ser usada despus para encontrar los archivos los cuales
cambiaron despus de que la base de datos fue creada.
Para usar aide por favor seguir los siguientes pasos.
1) Para instalar aide correr:
[root@server ~]# yum install aide y

2) el archivo configuracin para aide es /etc/aide.conf donde la exclusin del

directorio(los directorios cuales no deberan ser incluidos en la base de datos) pueden ser
configurados. Para ms detalles, por favor lea la manpage para aide.
3) Para crear la base de datos correr:
[root@server ~]# aide init

4) O para actualizar la base de datos correr:

[root@server ~]# aide --update

5) crear una base de datos aide.db.new.gz bajo /var/lib/aide/

aide.db.gz con el siguiente comando:

Renombrarla a

[root@server ~]# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

6) Ahora para checarlos, los cambios del archivo de nuevo en esta base de datos correr:
[root@server ~]# aide --check

7) se recomienda que hagas un respaldo de /etc/aide.conf, /usr/sbin/aide y

/var/lib/aide/aide.db.gz en la seguridad del sistema.

2. CONFIGURACION DE ALERTAS
2.1.
Programar tareas con el cron
Para programar tareas repetitivas cada cierta hora o cierto intervalo de tiempo se puede
usar el cron.
Directorios y archivos del cron Descripcin
1. /etc/crontab Archivo crontab del sistema, accesible slo por el usuarioroot.
2. /etc/cron.d
Directorio que contiene mltiples archivos crontab. accesibles solo por
el usuario root.
3. /etc/cron.hourly Directorio para tareras que han de realizarse cada hora.
4. /etc/cron.daily
Directorio para taeras que han de rezalizarse diariamente.
5. /etc/cron.weekly Directorio para tareas que han de realizarse semanalmente.
6. /etc/cron.monthly Directorio para tareas que han de realizarse mensualmente.

7. /etc/cron.yearly
8. /etc/cron.allow
9. /etc/cron.deny

Directorio para tareas que han de realizarse anualmente.

Usuarios que tienen permisos para remitir tareas cron.
Usuarios que tienen denegado el acceso a cron.

Para editar o listar las tareas del cron lo podemos hacer mediante el comando crontab.
Para listar las tareas se usa el modificador -l:
$ crontab -l

Para editar las tareas es con el modificador -e:

$ crontab e
$ nano crontab e

Y para eliminarlas con el -r:

$ crontab -r

En el caso de root podemos usar estos comandos para cualquier usuario simplemente
indicando mediante -u el nombre de este:
# crontab -l -u sphinx

Una vez dentro del cron para indicar cada cuanto queremos ejecutar una tarea tenemos 5
elementos:
0 0 * * * /var/qmail/bin/qmail-scanner-queue.pl -z

El archivo utiliza un formato de 7 campos, donde se define, respectivamente, minuto, hora,

da del mes, mes, da de la semana, usuario a utilizar y el mandato a ejecutar
.----------------------- Minuto (0 - 59)
| .-------------------- Hora (0 - 23)
| | .----------------- Da del mes (1 - 31)
| | | .-------------- Mes (1 - 12)
| | | | .----------- Da de la semana (0 - 6) (domingo=0 o 7), y
| | | | |
tambin acepta como valores:
| | | | |
mon, tue, wed, thu, fri, sat y sun
| | | | | .-------- Usuario
| | | | | |
.- Mandato a ejecutar

1 14 * * * root
/home/fulano/bin/tarea.sh > /dev/null 2>&1

Todos los archivos de cron generados por los usuarios se almacenan siempre dentro del
directorio /var/spool/cron, utilizando el mismo nombre del usuario como nombre de
archivo. Es decir, los mandatos programados por el usuario fulano, se almacenarn en el
archivo /var/spool/cron/fulano.
Ejemplos de configuraciones.
Considerando el siguiente ejemplo:
1

root

freshclam > /dev/null 2>&1

Lo anterior significa que a las 01:01, todos los das, todos los meses, todos los aos, todos
los das de la semana, se ejecutar, como el usuario root, el mandato freshclam. Se aade
al final > /dev/null 2>&1 para que cualquier dato generado por la ejecucin de este
mandato, se descarte y sea enviando al dispositivo nulo del sistema (/dev/null) y que
tambin se enve la salida de STDERR hacia STDOUT.
Considerando el siguiente ejemplo:
0 23

root

yum -y update > /dev/null 2>&1

Lo anterior significa que a las 23:00, todos los viernes, todos los meses, todos aos, se
ejecutarn, como el usuario root, el mandato yum -y update. Al igual que en el ejemplo
anterior, se aade al final > /dev/null 2>&1 para que cualquier dato generado por la
ejecucin de este mandato, se descarte y sea enviando al dispositivo nulo del sistema
(/dev/null) y que tambin cambie el direccionamiento de STDERR hacia STDOUT.
Considerando el siguiente ejemplo:
*/5 *

root

/sbin/service httpd reload > /dev/null 2>&1

Lo anterior significa que cada 5 minutos se ejecutar, como el usuario root, el mandato
/sbin/service httpd reload.
Considerando el siguiente ejemplo:
*

*/3

root

/sbin/service httpd reload > /dev/null 2>&1

Lo anterior significa que cada 3 horas se ejecutar, como el usuario root, el mandato
/sbin/service httpd reload.
Considerando el siguiente ejemplo:
*

*/3

root

/sbin/service httpd reload > /dev/null 2>&1

Lo anterior significa que cada 3 das se ejecutar, como el usuario root, el mandato
/sbin/service httpd reload.
Considerando el siguiente ejemplo:
30

10 20

fulano

wall "Feliz cumpleaos a mi!"

Lo anterior significa que a las 10:30, cada 20 de febrero, todos lo aos, se ejecutar, como
el usuario fulano, el mandato wall "Feliz cumpleaos a mi!".
Considerando el siguiente ejemplo:

@reboot

fulano

mail -s "El sistema ha reiniciado" alguien@gmail.com

Lo anterior significa que cada vez que se reinicie el sistema, se ejecutar, como el usuario
fulano, el mandato mail -s "El sistema ha reiniciado", mismo que enviar con mensaje
de correo electrnico a alguien@gmail.com, con el asunto "El sistema ha reiniciado".
/usr/local/bin/mksnap

Tarea automtica para la ejecucin del chequeo AIDE.

-COMANDOS
/usr/sbin/aide --check | mail seguridades@atuntaqui.fin.ec
mail -s "Chequeo AIDE" seguridades@atuntaqui.fin.ec < /usr/sbin/aide -check
/usr/sbin/aide --check | mail -s "Chequeo AIDE"
seguridades@atuntaqui.fin.ec

Otros temas relacionados

http://es.tldp.org/Tutoriales/GUIA_TRIPWIRE/guia_tripwire.pdf
http://www.angelcarrasco.com/tag/tripwire/
http://www.switchroot.com/como-configurar-aide-para-detectar-cambios-dearchivos
http://puppetlinux.blogspot.com/2013/01/monitorizar-cambios-encarpetas.html
http://www.servicioswebgratis.com/tutorial-de-incron/
http://es.wikibooks.org/wiki/Manual_de_consola_Bash_de_Linux
http://www.ajpdsoft.com/modules.php?name=News&file=article&sid=379
http://rm-rf.es/aide-advanced-intrusion-detection-environment/
https://itlinux.zendesk.com/entries/22791381-Como-monitorear-cambios-enun-directorio
-LOGS
http://stuff.gpul.org/2000_jornadas/doc/Taller_de_Seguridad/tallersegurid
ad-2.html