Ich habe einen mit AIDE konfigurierten Server und versuche, Fehlalarme zu vermeiden. Ich habe heute Morgen eine Warnung erhalten, dass eine Datei zu einem Ordner hinzugefügt wurde, der meiner Meinung nach nur bei ACL-Änderungen warnen sollte, es sei denn, ich verstehe etwas falsch.
Hier sind die relevanten Teile der Konfigurationsdatei:
...
# Access control only.
PERMS = p+u+g+acl+selinux+xattrs
...
/var/run/faillock/ PERMS
Und die Warnung, die beim Ausführen generiert wird aide --check:
AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2020-01-30 09:37:22
Summary:
Total number of files: 69687
Added files: 1
Removed files: 0
Changed files: 0
---------------------------------------------------
Added files:
---------------------------------------------------
added: /var/run/faillock/testfile
Das Betriebssystem ist CentOS 7, falls das relevant ist.
Antwort1
aidemacht Sie darauf aufmerksam, dass eine Datei zum Verzeichnis hinzugefügt wurde. Es wurde nicht auf ACL-Änderungen oder irgendetwas anderes geprüft, da es dies noch nie zuvor gesehen hat. Sie möchten diese Prüfung, falls eine unerwartete Datei hinzugefügt wird. Wenn es ein bestimmtes Dateimuster gibt, das Sie ignorieren möchten, verwenden Sie die Option, um !es in der Konfiguration zu negieren.
Führen Sie die Datei aide.db.new.gz erneut aus aide --init, kopieren Sie sie in aide.db.gz und führen Sie sie erneut aus aide --check. Sobald die Datei in aide.db.gz aufgezeichnet ist, funktioniert sie wie erwartet.
Sie werden ein sauberes Ergebnis sehen.
Um Ihre Konfigurationsdatei zu testen, ändern Sie die Berechtigungen der Datei und führen Sie sie aide --checkerneut aus. Sie werden etwa Folgendes sehen:
# aide --check
AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2020-01-30 18:20:22
Summary:
Total number of files: 69135
Added files: 0
Removed files: 0
Changed files: 1
---------------------------------------------------
Changed files:
---------------------------------------------------
changed: /tmp/blah
---------------------------------------------------
Detailed information about changes:
---------------------------------------------------
File: /tmp/blah
Perm : -rw-r--r-- , -rw-------
ACL : old = A:
----
user::rw-
group::r--
other::r--
----
D: <NONE>
new = A:
----
user::rw-
group::---
other::---
----
D: <NONE>
Um eine neue Datei zu ignorieren, müssen Sie sie speziell zu hinzufügen aide.conf. Wie in der Referenz angegeben, können Sie Folgendes tun, wenn Sie /var/log/messages, aber nicht /var/log/messages.[0-9] scannen möchten:
=/var/log/messages$ R+a
!/var/log/messages\.[0-9]$
Derzeit werden nur Nachrichtendateien, die mit den Zahlen 0-9 enden, nicht in die Datenbank aufgenommen. Beachten Sie, dass ein Eindringling ein Rootkit verbergen könnte, indem er ein Verzeichnis mit dem Namen „messages.9“ erstellt. Dies gilt, wenn „messages.9“ noch nicht existiert.
Referenz