Advanced Intrusion Detection Environment

Advanced Intrusion Detection Environment (AIDE) était initialement développé en tant que logiciel gratuit similaire à Tripwire sous Licence Publique Générale GNU (GPL).

Les principaux développeurs sont Rami Lehti et Pablo Virolainen, tous deux associés à l'Université technologique de Tampere ainsi que Richard van den Berg, un consultant en sécurité néerlandais indépendant. Le projet est utilisé par de nombreux systèmes type Unix en tant qu'outil peu coûteux de détection de rootkits et de contrôle de référence.

Fonctionnalité

AIDE prend un « instantané » de l'état du système, enregistre les fragmentations, les moments liés à des modifications et toute autre donnée concernant les fichiers définis par l'administrateur. Cet « instantané » est utilisé pour générer une base de données qui est enregistrée et peut-être être stockée sur un périphérique externe pour plus de sécurité.

Lorsque l'administrateur souhaite exécuter un test d'intégrité, l'administrateur place la base de données précédemment générée en un lieu accessible et commande AIDE afin de comparer la base de données avec l'état réel du système. Toute modification qui se serait produite sur l'ordinateur entre la création de l'instantané et le test sera détectée par AIDE et sera signalée à l'administrateur. AIDE peut être configuré pour s'exécuter de façon planifiée et signaler quotidiennement les changements grâce aux technologies d'ordonnancement comme le cron, qui est le comportement par défaut du package AIDE de Debian^[1].

Ceci est principalement utilisé pour des raisons de sécurité étant donné que toute modification malveillante qui aurait pu se produire au sein du système serait signalée par AIDE.

Références

1. « Using Aide on Ubuntu 12.04 LTS (Precise Pangolin) and Debian 7 (Wheezy) » (consulté le 12 mars 2013)

Liens externes

• AIDE page d'accueil
• AIDE SourceForge

•   Portail de la sécurité informatique