У мяне ёсць сервер, настроены на AIDE, і я спрабую наладзіць ілжывыя спрацоўванні. Сёння раніцай я атрымаў папярэджанне, што файл быў дададзены ў папку, якая, на маю думку, павінна папярэджваць толькі пра змены ACL, калі я нешта не разумею.
Вось адпаведныя часткі файла канфігурацыі:
...
# Access control only.
PERMS = p+u+g+acl+selinux+xattrs
...
/var/run/faillock/ PERMS
І папярэджанне, якое ствараецца пры запуску aide --check
:
AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2020-01-30 09:37:22
Summary:
Total number of files: 69687
Added files: 1
Removed files: 0
Changed files: 0
---------------------------------------------------
Added files:
---------------------------------------------------
added: /var/run/faillock/testfile
АС - гэта CentOS 7, калі гэта актуальна.
помощник
предупреждает вас, что файл был добавлен в каталог. Он не проверял его на соответствие изменениям ACL или чему-то еще, потому что никогда раньше этого не видел. Вы хотите эту проверку на случай добавления файла, которого вы не ожидаете. Если есть определенный шаблон файла, который вы хотите игнорировать, используйте !
, чтобы отменить его в конфигурации.
Повторите aide --init
и скопируйте aide.db.new .gz в aide.db.gz и повторно запустите aide --check
.
Как только он будет записан в aide.db.gz, он будет работать так, как вы ожидаете.
Вы увидите чистый результат.
Чтобы протестировать свой файл конфигурации, измените права доступа к файлу и запустите помощник - проверьте
еще раз. Вы увидите что-то вроде этого:
# aide --check
AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2020-01-30 18:20:22
Summary:
Total number of files: 69135
Added files: 0
Removed files: 0
Changed files: 1
---------------------------------------------------
Changed files:
---------------------------------------------------
changed: /tmp/blah
---------------------------------------------------
Detailed information about changes:
---------------------------------------------------
File: /tmp/blah
Perm : -rw-r--r-- , -rw-------
ACL : old = A:
----
user::rw-
group::r--
other::r--
----
D: <NONE>
new = A:
----
user::rw-
group::---
other::---
----
D: <NONE>
Чтобы игнорировать новый файл, вам нужно специально добавить его в aide.conf
.Как указано в справочнике, если вы хотите сканировать / var / log / messages, но не /var/log/messages.[0-9], вы можете сделать что-то вроде этого:
=/var/log/messages$ R+a
!/var/log/messages\.[0-9]$
Теперь только файлы сообщений, оканчивающиеся на 0- 9 не включены в базу данных. Обратите внимание, что злоумышленник может замаскировать руткит, создав каталог с именем messages. Если messages.9 еще не существует, то есть.
Ссылка