У меня есть сервер, настроенный с AIDE, и я пытаюсь отсеять ложные срабатывания. Сегодня утром я получил оповещение о том, что файл был добавлен в папку, которая, как я считаю, должна оповещать только об изменениях ACL, если я чего-то не путаю.
Вот соответствующие части файла конфигурации:
...
# Access control only.
PERMS = p+u+g+acl+selinux+xattrs
...
/var/run/faillock/ PERMS
И оповещение, сгенерированное при запуске aide --check:
AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2020-01-30 09:37:22
Summary:
Total number of files: 69687
Added files: 1
Removed files: 0
Changed files: 0
---------------------------------------------------
Added files:
---------------------------------------------------
added: /var/run/faillock/testfile
Операционная система — CentOS 7, если это актуально.
решение1
aideоповещает вас о том, что файл был добавлен в каталог. Он не проверил его на предмет изменений ACL или чего-либо еще, потому что он никогда не видел его раньше. Вам нужна эта проверка на случай, если будет добавлен файл, который вы не ожидаете. Если есть определенный шаблон файла, который вы хотите игнорировать, используйте , !чтобы отменить его в конфигурации.
Повторно запустите aide --initи скопируйте aide.db.new.gz в aide.db.gz и снова запустите aide --check. После записи в aide.db.gz он будет работать так, как вы ожидаете.
Вы увидите чистый результат.
Чтобы проверить ваш файл конфигурации, измените разрешения файла и запустите aide --checkснова. Вы увидите что-то вроде этого:
# aide --check
AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2020-01-30 18:20:22
Summary:
Total number of files: 69135
Added files: 0
Removed files: 0
Changed files: 1
---------------------------------------------------
Changed files:
---------------------------------------------------
changed: /tmp/blah
---------------------------------------------------
Detailed information about changes:
---------------------------------------------------
File: /tmp/blah
Perm : -rw-r--r-- , -rw-------
ACL : old = A:
----
user::rw-
group::r--
other::r--
----
D: <NONE>
new = A:
----
user::rw-
group::---
other::---
----
D: <NONE>
Чтобы игнорировать новый файл, вам нужно будет специально добавить его в aide.conf. Как указано в ссылке, если вы хотите сканировать /var/log/messages, но не /var/log/messages.[0-9], вы можете сделать что-то вроде этого:
=/var/log/messages$ R+a
!/var/log/messages\.[0-9]$
Теперь в базу данных не включены только файлы сообщений, заканчивающиеся на цифры 0-9. Обратите внимание, что злоумышленник может замаскировать руткит, создав каталог с именем messages.9. Если messages.9 еще не существует, то...
Ссылка