2. ¿Para qué sirve?
Su función es crear una base de datos
que permita comparar los checksum de
distintos momentos de un sistema,
para encontrar alteraciones en el
código de fuente.
4. Crea un checksum criptográfico o hash
para cada archivo usando uno o una
combinación
de
varios
de
los
siguientes algoritmos:
• sha1
• sha256
• sha512
• md5
• rmd160
• tiger
5. ¿En qué momento se utiliza?
Normalmente, el administrador debe
crear una base de datos de AIDE
cuando su sistema es nuevo, antes
de ser colgado en internet.
AIDE funciona como una
fotográfica
del
estado
(incorrupto) del sistema.
captura
normal
6. Después de una sospecha, un administrador
utiliza herramientas del sistema como
ls,
ps,
netstat
y
who;
son
las
herramientas
más
frecuentemente
modificadas por los intrusos.
Es posible que no detecten una intrusión
por una modificación en su código fuente.
Esto es muy fácil de hacer
expertos en la intrusión.
para
los
7. Sin embargo, es sencillo encontrar
una modificación a las herramientas
del sistema al contrastar diferentes
hash.
8. Para saber más, consulte las siguientes fuentes:
Manual de AIDE [inglés]
http://aide.sourceforge.net/stable/manual.html
AIDE en Debian 6.0 Squeeze [español]
http://www.redesseguridad.com.ar/2011/05/aide-ids-en-debian60-squeeze.html
Linux: Detección de Intrusos con AIDE [inglés]
http://www.youtube.com/watch?v=iy0AsbtTv2k