Aide(文件完整性监视器)创建一个名为 aide.db 的数据库。在此文件中,两个特定的列是 attr 和 perms。如何解释这些列中的数据?
答案1
为了回答我自己的问题,实验表明以下内容。
aide.db(和aide.db.new)始终具有以下列:
- name - 文件/目录/软链接的名称
- lname - 软链接的目标,但如果这不是软链接,则为“0”
- attr - 见下文
- perm - 此项的权限 - 见下文
- inode - 该项目的 inode
根据您在配置文件中请求的内容,可能会有更多列。
权限可能以以下内容开头:
- 4:这是一个目录
- 10:这是一个文件
- 12:这是一个软链接
(请注意,“d”是字母表中的第 4 个字母,“l”是第 12 个字母。但“f”不是第 10 个字母。)
下一个数字是 setuid / setgid / Sticky 位,最后三位是通常的权限。例如,如果条目为 100755,则这是一个具有 rwxr-xr-x 权限的文件
属性列 (attr) 具有指示您请求什么或已提供什么的位。以下是一些以十六进制表示的位:
- 1:始终设置为1
- 2:(我不知道)
- 4:p = 权限
- 8:u = 用户 ID
- 10: g = 组 ID
- 20: s = 尺寸
- 40:a = atime(我还不知道如何读时间。)
- 80: c = c时间
- 100: m = 时间
- 200: i = 索引节点
- 400:b = 块数
- 800:n = 链接数
- 4,000,000:S = 不断增长的规模
- 8,000,000:I = 忽略更改的文件名
所有从 4 到 800 的值都会导致打印额外的列。
以下是校验和。仅针对文件计算校验和,而不针对目录和软链接计算校验和。仅对于文件,相应位设置为 1。
- 1000:md5
- 2000 年:第一季度
- 4000:rmd160
- 8000:虎
- 10000: CRC32
- 20000:哈弗
- 40,000,000:sha256
- 80,000,000:sha512
我确信通过查看源代码可以发现更多内容。如有错误请指正。