AIDE로 구성된 서버가 있고 오탐지 여부를 조정하려고 합니다. 오늘 아침에 제가 잘못 이해한 것이 아니라면 ACL 변경 사항에 대해서만 경고해야 한다고 생각되는 파일이 폴더에 추가되었다는 경고를 받았습니다.
구성 파일의 관련 부분은 다음과 같습니다.
...
# Access control only.
PERMS = p+u+g+acl+selinux+xattrs
...
/var/run/faillock/ PERMS
그리고 내가 실행할 때 생성된 경고는 다음과 같습니다 aide --check.
AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2020-01-30 09:37:22
Summary:
Total number of files: 69687
Added files: 1
Removed files: 0
Changed files: 0
---------------------------------------------------
Added files:
---------------------------------------------------
added: /var/run/faillock/testfile
해당하는 경우 OS는 CentOS 7입니다.
답변1
aide디렉토리에 파일이 추가되었음을 경고합니다. 이전에 본 적이 없기 때문에 ACL 변경 사항이나 다른 것과 비교하여 확인하지 않았습니다. 예상치 못한 파일이 추가될 경우를 대비해 이 검사를 원합니다. 무시하려는 특정 파일 패턴이 있는 경우 !구성에서 이를 무효화하려면 해당 패턴을 사용하십시오.
aide --initaide.db.new.gz를 다시 실행 하고 aide.db.gz에 복사한 후 다시 실행합니다 aide --check. aide.db.gz에 기록되면 예상대로 작동합니다.
깔끔한 결과를 보실 수 있습니다.
구성 파일을 테스트하려면 파일의 권한을 변경하고 aide --check다시 실행하세요. 다음과 같은 내용이 표시됩니다.
# aide --check
AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2020-01-30 18:20:22
Summary:
Total number of files: 69135
Added files: 0
Removed files: 0
Changed files: 1
---------------------------------------------------
Changed files:
---------------------------------------------------
changed: /tmp/blah
---------------------------------------------------
Detailed information about changes:
---------------------------------------------------
File: /tmp/blah
Perm : -rw-r--r-- , -rw-------
ACL : old = A:
----
user::rw-
group::r--
other::r--
----
D: <NONE>
new = A:
----
user::rw-
group::---
other::---
----
D: <NONE>
새 파일을 무시하려면 해당 파일을 aide.conf. 참조에 명시된 대로 /var/log/messages를 검사하고 /var/log/messages.[0-9]를 검사하지 않으려면 다음과 같이 할 수 있습니다.
=/var/log/messages$ R+a
!/var/log/messages\.[0-9]$
이제 0-9로 끝나는 메시지 파일만 데이터베이스에 포함되지 않습니다. 침입자는 message.9라는 디렉터리를 만들어 루트킷을 위장할 수 있습니다. message.9가 아직 존재하지 않는 경우입니다.
참조