Ist- und Soll-Zustand vergleichen

Möchte der Admin nun den Ist-Zustand des Systems mit dem Soll-Zustand vergleichen, ruft er "aide --check" auf. AIDE schaut sich dann erneut alle in der Konfigurationsdatei aufgeführten Objekte an und vergleicht deren aktuelle Attribute mit denen in der Soll-Datenbank. Die Differenz zeigt AIDE als Report auf dem Terminal an – zumindest wenn die Anweisung »report_url=stdout« in der Konfigurationsdatei steht. Das Ergebnis sieht dann in etwa so aus wie in Abbildung 1. Hier stellt AIDE fest, dass sich die Mtime und die Ctime der Datei »/etc/shadow« geändert haben. Ob es sich hierbei um eine nicht autorisierte Änderung handelt, ist vom verantwortlichen Administrator selbst zu entscheiden. AIDE kann lediglich auf diese Änderung hinweisen. Stellt sich heraus, dass es sich um eine autorisierte Änderung handelt, muss der Admin sie natürlich neu in die Datenbank aufnehmen, da AIDE sonst bei jeder weiteren Überprüfung erneut Alarm schlagen würde.

Die Kunst beim Konfigurieren eines Host-basierten Intrusion-Detection-Systems liegt darin, durch mehrere iterative Anpassungen, die Konfigurationsdatei so aufzubauen, dass das IDS keine oder möglichst wenig Falschmeldungen generiert, ansonsten geht die wirklich wichtige Information evtentuell in der Menge der vielen Ausgabeinformationen verloren. Es kann also durchaus einige Durchläufe brauchen, bis die Konfigurationsdatei so angepasst ist, dass AIDE wirklich nur noch in kritischen Fällen Alarm schlägt. Das setzt ein gutes Verständnis der verschiedenen Attribute und der zu überwachenden Objekte voraus. Sind die richtigen Einstellungen gefunden, kann man den Aufruf von »aide --check« automatisiert beispielsweise einmal täglich durch den Cron-Daemon starten.

Abschließend noch einige praktische Hinweise. Sollte das AIDE-System durch einen Angreifer kompromittiert werden, so ist es für diesen natürlich ein Leichtes die bestehende Konfigurationsdatei auszulesen und nach Ordnern zu suchen, die AIDE nicht überprüft. So kann beispielsweise die Installation einer Backdoor vollkommen unbemerkt bleiben. Aus diesem Grunde speichert man die Konfigurationsdatei im besten Falle auf einem Read-Only-Medium, das nur zum Zeitpunkt der Systemüberprüfung bereitsteht. Gleiches gilt auch für die Datenbank selbst. Arbeitet man nicht mit digitalen Signaturen, könnte ein Angreifer ansonsten den Inhalt der Datenbank leicht verändern, um seine Manipulationen am System zu verbergen.

Fazit

AIDE ist eine leistungsfähige Software die sehr leicht zu konfigurieren ist. In kleineren Umgebungen oder auf Einzelsystemen bietet AIDE deshalb Vorteile im Vergleich zu komplexeren Systemen wie Tripwire oder Samhain. Erweiterte Funktionen wie beispielsweise die grafische Aufbereitung von Reports sucht man bei AIDE aber vergebens.