Afick é um script PERL que pode ser utilizado como um simples IDS para monitorar qualquer atividade no seu sistema. Com ele é possível fazer uma análise posterior do estrago causado por uma invasão, ou mesmo monitorar a integridade de seus filesystems e ser avisado por e-mail.

Mãos à obra! Vou tentar passar o pouco que aprendi dessa útil ferramenta.

Instalação

Baixe primeiro o arquivo do link abaixo:

• http://prdownloads.sourceforge.net/afick

Com certeza ele estará em RPM, como não utilizo RPM aqui, converto ele para TGZ através do alien (http://freshmeat.net/redir/alien/194/url_homepage/alien).

Feito "tudo" isto, vamos dar uma alterada no /etc/afick.conf.

Vamos fazer um teste com o /tmp, então logo após Myrule (para efeitos de organização) acrescente:

Irá checar o (u)dono, (g)grupo, (p)permissões, (m)última modificação e (s)tamanho do arquivo.

E logo após "files to scan" acrescente:

Agora basta criar a base de dados com o comando:

# afick.pl -i -v -b teste1 -c /etc/afick.conf

Onde:

• -i cria a base
• -b nome da base
• -v modo verbose
• -c indica onde está o arquivo de configuração

Após concluído o processo de criação da base de dados, experimente no filesystem que tu está monitorando, excluir ou modificar um arquivo e então digite:

# afick.pl -k -v -b teste1 -c /etc/afick.conf

Onde:

• -k irá comparar a base atual com a criada anteriormente, podendo assim verificar se deu certo.

Todas as operações aqui foram efetuadas como root, é recomendável testar antes em um diretório não tão fundamental ao teu sistema.

Esta dica foi baseada no artigo:
http://www.linuxgazette.com/node/view/8797

Espero ter sido útil e paz a todos,
Bruno