¿Puede AIDE escanear un directorio dentro de un directorio para el que el usuario no tiene permisos de lectura?

tag-icon tag-icon linux permissions security
¿Puede AIDE escanear un directorio dentro de un directorio para el que el usuario no tiene permisos de lectura?

Me gustaría utilizar AIDE para ayudarme a verificar la integridad de mi directorio de inicio en un sistema Linux compartido. No soy administrador de este sistema. He creado e instalado AIDE en mi directorio personal y parece funcionar correctamente.

El administrador del sistema ha establecido permisos /homepara 0751. Esto permite a los usuarios ingresar /home, pero no enumerar el contenido del directorio.

Para fines de demostración, considere este aide.conf demasiado simple:

database=file:/home/kccricket/aide.db
database_out=file:aide.db.new
/home/kccricket R

Dada esta configuración, la ejecución aide -igenerará:

open_dir():Permission denied: /home

AIDE, version 0.15.1

### AIDE database at aide.db.new initialized.

La base de datos AIDE resultante estará vacía. Si ejecuto el mismo comando con -V255(la mayor detalle), puedo ver que AIDE examina cada directorio /y luego intenta hacer lo mismo con /home. Se ahoga porque no puede enumerar el contenido de /home.

¿Hay alguna manera de hacer que esto funcione, aparte de pedirle al administrador del sistema que cambie los permisos /home?

Respuesta1

La solución a este problema es construir AIDE a partir de la instantánea de desarrollo actual o la versión alfa 0.16a2.

La versión 0.16a2 incluye una nueva opción:

root_prefix
          The prefix to strip from each file name in the file system before applying
          the rules and writing to database. Aide removes a trailing slash from  the
          prefix.  The default is no (an empty) prefix. This option has no effect in
          compare mode.

En el caso de esta pregunta, el nuevo archivo aide.conf sería:

database=file:/home/kccricket/aide.db
database_out=file:aide.db.new
root_prefix=/home/kccricket
/ R

Gracias a Hannes von Haugwitz ([correo electrónico protegido]) del equipo de AIDE para esta información.

Respuesta2

Puede hacer que un asistente limite el escaneo solo a la carpeta especificada agregando un archivo =.

Ejemplo con su configuración:

database=file:/home/kccricket/aide.db
database_out=file:aide.db.new
/home/kccricket R

Cambie la línea /home/kccricket Ra=/home/kccricket R

Eso obligará al asistente a escanear solo dentro de la carpeta especificada y no echar un vistazo afuera, lo que provocará una falla.

información relacionada