以前我在 CentOS 7 上使用 AIDE,很容易在扫描中包含和排除 AIDE 文件夹
已经有预定义的规则,它可以包含或排除文件夹,如下所示:
# Exclude subfolder
!/usr/src/
# Include this folder with rule defined in CONTENT_EX
/usr/ CONTENT_EX
但是,随着新版本的 AIDE 启动Debian 10,我似乎不明白如何包含或排除此文件夹。但我刚刚发现他们在这里有一堆预定义的规则:/etc/aide/aide.conf.d。这个新的 AIDE 如何知道扫描文件或文件夹更改时要包含哪个文件夹以及使用什么规则?
另一个问题是:编写新的排除或包含文件夹的最佳实践方法是什么?我们应该添加新规则吗/etc/aide/aide.conf.d?hidden在这里找到了文档https://aide.github.io/doc/,但其中没有提到任何有关此内容的内容。
我说的是hidden因为这个文档没有发布在首页,aide.github.io但你需要输入这样的子网址才能进入该文档/doc/
答案1
如果你查看/etc/aide/aide.conf,你会在底部发现这一行:
@@x_include /etc/aide/aide.conf.d ^[a-zA-Z0-9_-]+$
该行将包括来自的所有扫描规则/etc/aide/aide.conf.d/*
在 AIDE 中,必须至少有 1 个包含规则才能使扫描工作。因此,在/etc/aide/aide.conf.d/文件夹内部,这是实际包含扫描文件夹的规则示例之一:
99_aide_root
上述文件有以下内容:
# this is the catch-all rule that includes everything that is not restricted by earlier rules
# this rule is deliberately unrestricted
/ Full
的含义/是将目录包含root在扫描中,第二个参数表示使用定义为from 的Full规则。Full/etc/aide/aide.conf
所以,aide使用上面的规则基本上已经包含了扫描中的所有内容。所以你不必关心include规则。您应该关心的是忽略某些文件夹或文件的排除规则。因此,要排除某些文件夹或文件,您可以在其中创建一个文件/etc/aide/aide.conf.d/myrule
在 myrule 中,你可以这样写:
# Exclude subfolder
!/usr/src/
最后该文件夹将不会包含在扫描中