我有一台配置了 AIDE 的伺服器,我正在嘗試排除誤報。今天早上我收到一條警報,一個文件已添加到一個資料夾中,我認為該資料夾只應在 ACL 更改時發出警報,除非我誤解了某些內容。
以下是設定檔的相關部分:
...
# Access control only.
PERMS = p+u+g+acl+selinux+xattrs
...
/var/run/faillock/ PERMS
當我運行時產生的警報aide --check:
AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2020-01-30 09:37:22
Summary:
Total number of files: 69687
Added files: 1
Removed files: 0
Changed files: 0
---------------------------------------------------
Added files:
---------------------------------------------------
added: /var/run/faillock/testfile
作業系統是 CentOS 7(如果相關的話)。
答案1
aide警告您檔案已新增至目錄。它沒有根據 ACL 更改或其他任何內容檢查它,因為它以前從未見過它。您希望進行此檢查,以防添加您不想要的文件。如果您想忽略某個特定的檔案模式,請!在設定中使用 來否定它。
重新運行aide --init並將 aide.db.new.gz 複製到 aide.db.gz 並重新運行aide --check。一旦將其記錄在 aide.db.gz 中,它將按您的預期工作。
您將看到一個乾淨的結果。
若要測試您的設定文件,請變更該文件的權限並aide --check再次執行。你會看到這樣的東西:
# aide --check
AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2020-01-30 18:20:22
Summary:
Total number of files: 69135
Added files: 0
Removed files: 0
Changed files: 1
---------------------------------------------------
Changed files:
---------------------------------------------------
changed: /tmp/blah
---------------------------------------------------
Detailed information about changes:
---------------------------------------------------
File: /tmp/blah
Perm : -rw-r--r-- , -rw-------
ACL : old = A:
----
user::rw-
group::r--
other::r--
----
D: <NONE>
new = A:
----
user::rw-
group::---
other::---
----
D: <NONE>
要忽略新文件,您需要將其專門添加到aide.conf.如參考文獻中所述,如果您想掃描 /var/log/messages 但不掃描 /var/log/messages.[0-9] 您可以執行以下操作:
=/var/log/messages$ R+a
!/var/log/messages\.[0-9]$
現在,只有以數字 0-9 結尾的訊息檔案不包含在資料庫中。請注意,入侵者可以透過建立名為 messages.9 的目錄來偽裝 rootkit。如果 messages.9 尚不存在。
參考