Tengo un servidor configurado con AIDE y estoy intentando desconectar los falsos positivos. Recibí una alerta esta mañana de que se había agregado un archivo a una carpeta que creo que solo debería alertar sobre cambios de ACL, a menos que esté entendiendo mal algo.
Aquí están las partes relevantes del archivo de configuración:
...
# Access control only.
PERMS = p+u+g+acl+selinux+xattrs
...
/var/run/faillock/ PERMS
Y la alerta generada cuando ejecuto aide --check:
AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2020-01-30 09:37:22
Summary:
Total number of files: 69687
Added files: 1
Removed files: 0
Changed files: 0
---------------------------------------------------
Added files:
---------------------------------------------------
added: /var/run/faillock/testfile
El sistema operativo es CentOS 7, si eso es relevante.
Respuesta1
aidele alerta que se ha agregado un archivo al directorio. No lo ha comparado con los cambios de ACL ni nada más porque nunca lo había visto antes. Desea realizar esta verificación en caso de que se agregue un archivo que no espera. Si hay un patrón específico de archivo que desea ignorar, use para !negarlo en la configuración.
Vuelva a ejecutar aide --inity copie aide.db.new.gz en aide.db.gz y vuelva a ejecutar aide --check. Una vez que esté registrado en aide.db.gz, funcionará como espera.
Verás un resultado limpio.
Para probar su archivo de configuración, cambie los permisos del archivo y ejecútelo aide --checknuevamente. Verás algo como esto:
# aide --check
AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2020-01-30 18:20:22
Summary:
Total number of files: 69135
Added files: 0
Removed files: 0
Changed files: 1
---------------------------------------------------
Changed files:
---------------------------------------------------
changed: /tmp/blah
---------------------------------------------------
Detailed information about changes:
---------------------------------------------------
File: /tmp/blah
Perm : -rw-r--r-- , -rw-------
ACL : old = A:
----
user::rw-
group::r--
other::r--
----
D: <NONE>
new = A:
----
user::rw-
group::---
other::---
----
D: <NONE>
Para ignorar un archivo nuevo, deberá agregarlo específicamente al archivo aide.conf. Como se indica en la referencia, si desea escanear /var/log/messages pero no /var/log/messages.[0-9] puede hacer algo como esto:
=/var/log/messages$ R+a
!/var/log/messages\.[0-9]$
Ahora sólo los archivos de mensajes que terminan en el número 0-9 no se incluyen en la base de datos. Tenga en cuenta que un intruso podría disfrazar un rootkit creando un directorio llamado mensajes.9. Si message.9 aún no existe, claro está.
Referencia