我有一台配置了 AIDE 的服务器,我正在尝试排除误报。今天早上我收到一条警报,说一个文件被添加到一个文件夹中,我认为除非我理解错了,否则这个文件夹应该只在 ACL 更改时发出警报。
以下是配置文件的相关部分:
...
# Access control only.
PERMS = p+u+g+acl+selinux+xattrs
...
/var/run/faillock/ PERMS
我运行时生成警报aide --check
:
AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2020-01-30 09:37:22
Summary:
Total number of files: 69687
Added files: 1
Removed files: 0
Changed files: 0
---------------------------------------------------
Added files:
---------------------------------------------------
added: /var/run/faillock/testfile
如果相关的话,操作系统是 CentOS 7。
答案1
aide
正在提醒您已将文件添加到目录中。它尚未针对 ACL 更改或其他任何内容对其进行检查,因为它以前从未见过它。您需要进行此检查以防意外添加文件。如果您希望忽略特定模式的文件,请使用!
在配置中将其否定。
重新运行aide --init
并将 aide.db.new.gz 复制到 aide.db.gz 并重新运行aide --check
。一旦它被记录在 aide.db.gz 中,它就会按预期工作。
您将看到干净的结果。
要测试您的配置文件,请更改文件的权限并aide --check
再次运行。您将看到类似以下内容:
# aide --check
AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2020-01-30 18:20:22
Summary:
Total number of files: 69135
Added files: 0
Removed files: 0
Changed files: 1
---------------------------------------------------
Changed files:
---------------------------------------------------
changed: /tmp/blah
---------------------------------------------------
Detailed information about changes:
---------------------------------------------------
File: /tmp/blah
Perm : -rw-r--r-- , -rw-------
ACL : old = A:
----
user::rw-
group::r--
other::r--
----
D: <NONE>
new = A:
----
user::rw-
group::---
other::---
----
D: <NONE>
要忽略新文件,您需要专门将其添加到aide.conf
。如参考中所述,如果您想扫描 /var/log/messages 但不扫描 /var/log/messages.[0-9],您可以执行以下操作:
=/var/log/messages$ R+a
!/var/log/messages\.[0-9]$
现在,只有以数字 0-9 结尾的消息文件不包含在数据库中。请注意,入侵者可以通过创建名为 messages.9 的目录来伪装 rootkit。如果 messages.9 尚不存在。
参考