在长期安装的机器上安装 Aide 有什么意义吗?还是只有在全新安装后立即安装或从拇指驱动器运行时才值得信赖?
背景:
一位不懂技术的朋友有一台笔记本电脑,我帮他用它来维持业务。它最初安装的是 14.04 LTS,后来升级到了 16.04 LTS。他只有一个用户密码,没有 root 密码,也不属于 sudo 组。我多次告诉他不要点击未知附件,但我知道他偶尔还是会尝试打开朋友发来的东西,例如视频附件,这些东西可能已被黑客入侵,有病毒等。
最近笔记本电脑“运行缓慢”,我看不出有什么原因,就我知道如何检查的一些基本事项而言(磁盘未满、未交换、顶部在不同时间显示 2-5 个项目,每个项目使用量 < 2-5%,等等)。也许我应该先检查更多这些基本事项,但我有点担心它被黑客入侵或被 rootkit 了。
我曾经在所有服务器上使用 Tripwire,因此我熟悉它如何构建数据库,然后监控与之相关的更改。如果笔记本电脑的文件已被黑客入侵,并且 Aide 的工作方式相同,那么这无济于事。但如果 Aide 有某种安全的方法来检查二进制文件的存储库版本,那么我想它可以告诉我是否安全,而无需重新安装。
显然,全新安装是最可靠的安全方法,但他距离这里有 400 公里,而且卫星互联网速度很慢,因此全新安装需要花费很大精力。
答案1
Aide 与您自己的文件进行比较。
从man aide(http://manpages.ubuntu.com/manpages/trusty/man1/aide.1.html)和助手手册(http://www.cs.tut.fi/~rammer/aide/manual.html):
“--init, -i 初始化数据库。您必须初始化数据库并将其移动到适当的位置,然后才能使用--check 命令。”
和
“通常,系统管理员会在将新系统接入网络之前在其上创建一个 AIDE 数据库。第一个 AIDE 数据库是系统在正常状态下的快照,也是衡量所有后续更新和更改的标准。”