Centos7
AIDE 報告文件添加到僅標記為 ACL 的文件夾
我有一台配置了 AIDE 的伺服器,我正在嘗試排除誤報。今天早上我收到一個警告,一個文件已添加到一個文件夾中,我認為該文件夾只應在 ACL 更改時發出警報,除非我誤解了某些內容。
以下是配置文件的相關部分:
... # Access control only. PERMS = p+u+g+acl+selinux+xattrs ... /var/run/faillock/ PERMS我執行時生成的警報
aide --check:AIDE 0.15.1 found differences between database and filesystem!! Start timestamp: 2020-01-30 09:37:22 Summary: Total number of files: 69687 Added files: 1 Removed files: 0 Changed files: 0 --------------------------------------------------- Added files: --------------------------------------------------- added: /var/run/faillock/testfile作業系統是 CentOS 7,如果相關的話。
aide正在提醒您文件已添加到目錄中。它沒有根據 ACL 更改或其他任何內容檢查它,因為它以前從未見過它。您希望進行此檢查,以防添加了您不希望的文件。如果您想忽略特定的文件模式,請!在配置中使用 來否定它。重新執行
aide --init並將 aide.db.new.gz 複製到 aide.db.gz 並重新執行aide --check。一旦它被記錄在 aide.db.gz 中,它將按您的預期工作。你會看到一個乾淨的結果。
要測試您的配置文件,請更改文件的權限並
aide --check再次執行。你會看到這樣的東西:# aide --check AIDE 0.15.1 found differences between database and filesystem!! Start timestamp: 2020-01-30 18:20:22 Summary: Total number of files: 69135 Added files: 0 Removed files: 0 Changed files: 1 --------------------------------------------------- Changed files: --------------------------------------------------- changed: /tmp/blah --------------------------------------------------- Detailed information about changes: --------------------------------------------------- File: /tmp/blah Perm : -rw-r--r-- , -rw------- ACL : old = A: ---- user::rw- group::r-- other::r-- ---- D: <NONE> new = A: ---- user::rw- group::--- other::--- ---- D: <NONE>要忽略新文件,您需要專門將其添加到
aide.conf. 如參考中所述,如果您想掃描 /var/log/messages 而不是 /var/log/messages。$$ 0-9 $$你可以這樣做:
=/var/log/messages$ R+a !/var/log/messages\.[0-9]$現在只有以數字 0-9 結尾的消息文件不包含在數據庫中。請注意,入侵者可以通過創建一個名為messages.9 的目錄來偽裝rootkit。如果messages.9 尚不存在,那就是。
參考