我想从系统上的棍子上运行 AIDE。然而,有一个很大的困难。 apt-get 会修改文件,特别是使用更新、安装、删除/清除命令,这会弄乱 AIDE 数据库。
我想生成一个已修改文件的列表,我可以用它来更新 AIDE 数据库。
我怎样才能做到这一点?
答案1
如果您运行的是 Debian,默认的 AIDE 安装会提供配置选项来排除软件包和安全更新中的更改。
从/etc/default/aide
,
# Set this to yes to suppress file changes by package and security
# updates from appearing in the e-mail report. Filtered file changes will
# still be listed in the log file. This option parses the /var/log/dpkg.log
# file and implies TRUNCATEDETAILS=yes
FILTERUPDATES=yes
它用于/etc/cron.daily/aide
通过解析来过滤信息/var/log/dpkg.log
。
据我所知,AIDE 中没有单个开关或简单的配置文件可以做到这一点,因此您需要手动构建排除。
我建议使用 Debianaide
脚本作为解决方案的基础。