Abaixo eu citarei duas formas de checar a integridade do seu ambiente Red Hat, uma delas é via rpm e a outra usando o aide.

Para checarmos a integridade dos pacotes instalados no nosso ambiente basta executarmos o seguinte comando:

# rpm -V pacote

Agora caso deseje automatizar essa análise podemos adicionar essa entrada na cron:


Com isso você terá diariamente um relatório sobre alterações nos pacotes instalados e com isso prevenirá caso algum atacante altere algum binário.

Outra forma de checarmos a integridade do nosso ambiente seria usando o aide, nesse caso teríamos um relatório da mudança de todos os arquivos e não somente os arquivos vinculados a pacotes. Abaixo segue um procedimento de como instalar e utilizar o aide.

Para instalarmos basta executar o seguinte comando:

# yum -y install aide

Após instalarmos vamos iniciar o banco de dados do aide com o hash de todos os arquivos instalados no ambiente, lembrando que isso pode levar alguns minutos.

# /usr/sbin/aide --init

Após esse comando será criado o seguinte arquivo em /var/lib/aide/aide.db.new.gz, renomeie esse arquivo para aide.db.gz e por questão de segurança envie uma cópia para um lugar seguro com a data da sua criação, exemplo aide.db-07-05-2010.gz por questão de auditoria.

Eu aconselho que este arquivo seja criado semanalmente, para dessa forma termos um controle melhor das alterações realizadas nesse período.

Agora, para checarmos se houve alguma alteração desde a última criação do banco, execute o seguinte comando:

# /usr/sbin/aide --check

Para automatizar essa tarefa adicione essa entrada na cron conforme mostrado no exemplo do rpm.

Referências:

• http://www.redhat.com/docs
• http://www.nsa.gov