O AIDE pode verificar um diretório dentro de um diretório para o qual o usuário não tem permissões de leitura?

tag-icon tag-icon linux permissions security
O AIDE pode verificar um diretório dentro de um diretório para o qual o usuário não tem permissões de leitura?

Gostaria de usar o AIDE para me ajudar a verificar a integridade do meu diretório pessoal em um sistema Linux compartilhado. Não sou administrador deste sistema. Criei e instalei o AIDE em meu diretório inicial e parece funcionar corretamente.

O administrador do sistema definiu permissões /homepara 0751. Isso permite que os usuários insiram /home, mas não listem o conteúdo do diretório.

Para fins de demonstração, considere este aide.conf excessivamente simples:

database=file:/home/kccricket/aide.db
database_out=file:aide.db.new
/home/kccricket R

Dada esta configuração, a execução aide -iproduzirá:

open_dir():Permission denied: /home

AIDE, version 0.15.1

### AIDE database at aide.db.new initialized.

O banco de dados AIDE resultante estará vazio. Se eu executar o mesmo comando com -V255(maior verbosidade), posso ver que o AIDE examina todos os diretórios /e tenta fazer o mesmo com /home. Ele engasga porque não consegue listar o conteúdo de /home.

Existe uma maneira de fazer isso funcionar, sem pedir ao administrador do sistema para alterar as permissões /home?

Responder1

A solução para este problema é construir o AIDE a partir do instantâneo de desenvolvimento atual ou da versão alfa 0.16a2.

A versão 0.16a2 inclui uma nova opção:

root_prefix
          The prefix to strip from each file name in the file system before applying
          the rules and writing to database. Aide removes a trailing slash from  the
          prefix.  The default is no (an empty) prefix. This option has no effect in
          compare mode.

No caso desta questão, o novo arquivo aide.conf seria:

database=file:/home/kccricket/aide.db
database_out=file:aide.db.new
root_prefix=/home/kccricket
/ R

Agradecimentos a Hannes von Haugwitz ([e-mail protegido]) da equipe AIDE para essas informações.

Responder2

Você pode fazer com que o assistente limite a digitalização apenas à pasta especificada anexando um arquivo =.

Exemplo com sua configuração:

database=file:/home/kccricket/aide.db
database_out=file:aide.db.new
/home/kccricket R

Mude a linha /home/kccricket Rpara=/home/kccricket R

Isso forçará o assistente a digitalizar apenas dentro da pasta especificada e não dar uma olhada lá fora, causando uma falha.

informação relacionada