AIDE 报告文件添加到标记为 ACL 的文件夹

AIDE 报告文件添加到标记为 ACL 的文件夹

我有一台配置了 AIDE 的服务器,我正在尝试排除误报。今天早上我收到一条警报,说一个文件被添加到一个文件夹中,我认为除非我理解错了,否则这个文件夹应该只在 ACL 更改时发出警报。

以下是配置文件的相关部分:

...
# Access control only.
PERMS = p+u+g+acl+selinux+xattrs
...
/var/run/faillock/ PERMS

我运行时生成警报aide --check

AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2020-01-30 09:37:22

Summary:
  Total number of files:    69687
  Added files:          1
  Removed files:        0
  Changed files:        0


---------------------------------------------------
Added files:
---------------------------------------------------

added: /var/run/faillock/testfile

如果相关的话,操作系统是 CentOS 7。

答案1

aide正在提醒您已将文件添加到目录中。它尚未针对 ACL 更改或其他任何内容对其进行检查,因为它以前从未见过它。您需要进行此检查以防意外添加文件。如果您希望忽略特定模式的文件,请使用!在配置中将其否定。

重新运行aide --init并将 aide.db.new.gz 复制到 aide.db.gz 并重新运行aide --check。一旦它被记录在 aide.db.gz 中,它就会按预期工作。

您将看到干净的结果。

要测试您的配置文件,请更改文件的权限并aide --check再次运行。您将看到类似以下内容:

# aide --check
AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2020-01-30 18:20:22

Summary:
  Total number of files:    69135
  Added files:          0
  Removed files:        0
  Changed files:        1


---------------------------------------------------
Changed files:
---------------------------------------------------

changed: /tmp/blah

---------------------------------------------------
Detailed information about changes:
---------------------------------------------------


File: /tmp/blah
 Perm     : -rw-r--r--                       , -rw-------
 ACL      : old = A:
----
user::rw-
group::r--
other::r--
----
                  D: <NONE>
            new = A:
----
user::rw-
group::---
other::---
----
                  D: <NONE>

要忽略新文件,您需要专门将其添加到aide.conf。如参考中所述,如果您想扫描 /var/log/messages 但不扫描 /var/log/messages.[0-9],您可以执行以下操作:

=/var/log/messages$ R+a
!/var/log/messages\.[0-9]$

现在,只有以数字 0-9 结尾的消息文件不包含在数据库中。请注意,入侵者可以通过创建名为 messages.9 的目录来伪装 rootkit。如果 messages.9 尚不存在。

参考

AIDE 文档

相关内容