У меня есть сервер, настроенный с помощью AIDE, и я пытаюсь отключить ложные срабатывания. Сегодня утром я получил предупреждение о том, что в папку был добавлен файл, который, как я считаю, должен предупреждать только об изменениях ACL, если я что-то не понимаю.
Вот соответствующие части файла конфигурации:
...
# Access control only.
PERMS = p+u+g+acl+selinux+xattrs
...
/var/run/faillock/ PERMS
И предупреждение создается, когда я бегу aide --check:
AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2020-01-30 09:37:22
Summary:
Total number of files: 69687
Added files: 1
Removed files: 0
Changed files: 0
---------------------------------------------------
Added files:
---------------------------------------------------
added: /var/run/faillock/testfile
ОС - CentOS 7, если это актуально.
aide предупреждает вас о том, что файл был добавлен в каталог. Он не проверял его на соответствие изменениям ACL или чему-то еще, потому что никогда раньше этого не видел. Вам нужна эта проверка на случай добавления файла, которого вы не ожидаете. Если есть определенный шаблон файла, который вы хотите игнорировать, используйте ! чтобы отрицать это в конфиге.
Повторить aide --init и скопируйте aide.db.new.gz в aide.db.gz и запустите повторно aide --check. Как только он будет записан в aide.db.gz, он будет работать так, как вы ожидаете.
Вы увидите чистый результат.
Чтобы протестировать файл конфигурации, измените разрешения файла и запустите aide --check очередной раз. Вы увидите что-то вроде этого:
# aide --check
AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2020-01-30 18:20:22
Summary:
Total number of files: 69135
Added files: 0
Removed files: 0
Changed files: 1
---------------------------------------------------
Changed files:
---------------------------------------------------
changed: /tmp/blah
---------------------------------------------------
Detailed information about changes:
---------------------------------------------------
File: /tmp/blah
Perm : -rw-r--r-- , -rw-------
ACL : old = A:
----
user::rw-
group::r--
other::r--
----
D: <NONE>
new = A:
----
user::rw-
group::---
other::---
----
D: <NONE>
Чтобы игнорировать новый файл, вам нужно специально добавить его в aide.conf. Как указано в справочнике, если вы хотите сканировать / var / log / messages, но не /var/log/messages.[0-9], вы можете сделать что-то вроде этого:
=/var/log/messages$ R+a
!/var/log/messages\.[0-9]$
Теперь в базу данных не попадают только файлы сообщений с номерами 0-9. Обратите внимание, что злоумышленник может замаскировать руткит, создав каталог с именем messages. Если messages.9 еще не существует, то есть.
Ссылка