AIDE で構成されたサーバーがあり、誤検知を回避しようとしています。今朝、フォルダーにファイルが追加されたという警告を受け取りました。これは、私が何かを誤解していない限り、ACL の変更に対してのみ警告されるはずだと考えています。
設定ファイルの関連部分は次のとおりです。
...
# Access control only.
PERMS = p+u+g+acl+selinux+xattrs
...
/var/run/faillock/ PERMS
実行時に生成されるアラートaide --check
:
AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2020-01-30 09:37:22
Summary:
Total number of files: 69687
Added files: 1
Removed files: 0
Changed files: 0
---------------------------------------------------
Added files:
---------------------------------------------------
added: /var/run/faillock/testfile
関係があるなら、OS は CentOS 7 です。
答え1
aide
ディレクトリにファイルが追加されたことを警告しています。 以前に確認したことがないため、ACL の変更やその他のチェックは行われていません。 予期しないファイルが追加された場合にこのチェックが必要になります。 無視したいファイルの特定のパターンがある場合は、!
設定で を使用してそれを否定します。
再実行しaide --init
、aide.db.new.gz を aide.db.gz にコピーして再実行しますaide --check
。aide.db.gz に記録されると、期待どおりに動作するようになります。
きれいな結果が表示されます。
設定ファイルをテストするには、ファイルの権限を変更してaide --check
再度実行します。次のような表示になります。
# aide --check
AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2020-01-30 18:20:22
Summary:
Total number of files: 69135
Added files: 0
Removed files: 0
Changed files: 1
---------------------------------------------------
Changed files:
---------------------------------------------------
changed: /tmp/blah
---------------------------------------------------
Detailed information about changes:
---------------------------------------------------
File: /tmp/blah
Perm : -rw-r--r-- , -rw-------
ACL : old = A:
----
user::rw-
group::r--
other::r--
----
D: <NONE>
new = A:
----
user::rw-
group::---
other::---
----
D: <NONE>
新しいファイルを無視するには、そのファイルを に明示的に追加する必要がありますaide.conf
。リファレンスに記載されているように、/var/log/messages をスキャンし、/var/log/messages.[0-9] をスキャンしない場合は、次のようにします。
=/var/log/messages$ R+a
!/var/log/messages\.[0-9]$
現在、0 ~ 9 の数字で終わるメッセージ ファイルのみがデータベースに含まれません。侵入者は、messages.9 というディレクトリを作成してルートキットを偽装できることに注意してください。ただし、messages.9 がまだ存在しない場合です。
参照