Tenho um servidor configurado com AIDE e estou tentando evitar falsos positivos. Recebi um alerta esta manhã informando que um arquivo foi adicionado a uma pasta que acredito que deveria alertar apenas sobre alterações de ACL, a menos que eu esteja entendendo mal alguma coisa.
Aqui estão as partes relevantes do arquivo de configuração:
...
# Access control only.
PERMS = p+u+g+acl+selinux+xattrs
...
/var/run/faillock/ PERMS
E o alerta gerado quando executo aide --check:
AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2020-01-30 09:37:22
Summary:
Total number of files: 69687
Added files: 1
Removed files: 0
Changed files: 0
---------------------------------------------------
Added files:
---------------------------------------------------
added: /var/run/faillock/testfile
O sistema operacional é o CentOS 7, se isso for relevante.
Responder1
aideestá alertando que um arquivo foi adicionado ao diretório. Ele não verificou as alterações da ACL ou qualquer outra coisa porque nunca viu isso antes. Você deseja essa verificação caso seja adicionado um arquivo inesperado. Se houver um padrão específico de arquivo que você deseja ignorar, use para !negá-lo na configuração.
Execute novamente aide --inite copie aide.db.new.gz para aide.db.gz e execute novamente aide --check. Depois de gravado em aide.db.gz, ele funcionará conforme o esperado.
Você verá um resultado limpo.
Para testar seu arquivo de configuração, altere as permissões do arquivo e execute aide --checknovamente. Você verá algo assim:
# aide --check
AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2020-01-30 18:20:22
Summary:
Total number of files: 69135
Added files: 0
Removed files: 0
Changed files: 1
---------------------------------------------------
Changed files:
---------------------------------------------------
changed: /tmp/blah
---------------------------------------------------
Detailed information about changes:
---------------------------------------------------
File: /tmp/blah
Perm : -rw-r--r-- , -rw-------
ACL : old = A:
----
user::rw-
group::r--
other::r--
----
D: <NONE>
new = A:
----
user::rw-
group::---
other::---
----
D: <NONE>
Para ignorar um novo arquivo, você precisará adicioná-lo especificamente ao arquivo aide.conf. Conforme declarado na referência, se você deseja verificar /var/log/messages, mas não /var/log/messages.[0-9], você pode fazer algo assim:
=/var/log/messages$ R+a
!/var/log/messages\.[0-9]$
Agora, apenas os arquivos de mensagens que terminam em números de 0 a 9 não são incluídos no banco de dados. Observe que um intruso pode disfarçar um rootkit criando um diretório chamado messages.9. Se o messages.9 ainda não existir, é isso.
Referência