了解 aide.db

了解 aide.db

Aide(文件完整性监视器)创建一个名为 aide.db 的数据库。在此文件中,两个特定的列是 attr 和 perms。如何解释这些列中的数据?

答案1

为了回答我自己的问题,实验表明以下内容。

aide.db(和aide.db.new)始终具有以下列:

  1. name - 文件/目录/软链接的名称
  2. lname - 软链接的目标,但如果这不是软链接,则为“0”
  3. attr - 见下文
  4. perm - 此项的权限 - 见下文
  5. inode - 该项目的 inode

根据您在配置文件中请求的内容,可能会有更多列。

权限可能以以下内容开头:

  • 4:这是一个目录
  • 10:这是一个文件
  • 12:这是一个软链接

(请注意,“d”是字母表中的第 4 个字母,“l”是第 12 个字母。但“f”不是第 10 个字母。)

下一个数字是 setuid / setgid / Sticky 位,最后三位是通常的权限。例如,如果条目为 100755,则这是一个具有 rwxr-xr-x 权限的文件

属性列 (attr) 具有指示您请求什么或已提供什么的位。以下是一些以十六进制表示的位:

  • 1:始终设置为1
  • 2:(我不知道)
  • 4:p = 权限
  • 8:u = 用户 ID
  • 10: g = 组 ID
  • 20: s = 尺寸
  • 40:a = atime(我还不知道如何读时间。)
  • 80: c = c时间
  • 100: m = 时间
  • 200: i = 索引节点
  • 400:b = 块数
  • 800:n = 链接数
  • 4,000,000:S = 不断增长的规模
  • 8,000,000:I = 忽略更改的文件名

所有从 4 到 800 的值都会导致打印额外的列。

以下是校验和。仅针对文件计算校验和,而不针对目录和软链接计算校验和。仅对于文件,相应位设置为 1。

  • 1000:md5
  • 2000 年:第一季度
  • 4000:rmd160
  • 8000:虎
  • 10000: CRC32
  • 20000:哈弗
  • 40,000,000:sha256
  • 80,000,000:sha512

我确信通过查看源代码可以发现更多内容。如有错误请指正。

相关内容