我似乎无法安装它。
以 root 身份使用以下命令。
apt-get install aide
aideinit
我确实有一个非常大的安装点并且想排除它。
该过程似乎挂起了,并且似乎没有日志。
答案1
- 暂时卸载大型挂载点。(遗憾的是,如果无法暂时卸载,则本指南不适用。)
- 安装助手。
添加排除项
/etc/aide/aide.conf!/your/largemountpoint然后再次安装。
我确信会有更好的方法,但是两个月内还没有人回答你……
答案2
aideinit可能不会挂起,但由于安装量很大,因此需要很长时间。尝试卸载如此大的体积或排除它与
!/your/largemountpoint
放入文件中/etc/aide/aide.conf.d/00_local_excludes并aideinit重新开始。不幸的是,aide它只使用一个 CPU(功能要求),默认情况下会对每个文件计算 7 个校验和,但这并不总是必要的。
以下是一些如何配置的示例aide:
配置aide
配置文件/etc/aide/aide.conf是/etc/default/aide
编辑/etc/aide/aide.conf
sudo nano /etc/aide/aide.conf
你会看到一条线
Checksums = sha256+sha512+rmd160+haval+gost+crc32+tiger
这需要相当多的计算能力。我认为一个校验和就足够了,将其更改为
Checksums = sha512
从扫描中排除某些文件和目录
添加一个文件/etc/aide/aide.conf.d/00_local_excludes,排除所有文件和目录,这些文件和目录每天都会频繁变化,例如:
!/var/log.*
!/var/spool/.*
!/var/lib/vnstat/*
和文件夹,可能不会产生任何问题,例如:
!/mnt/
!/media/
!/home/
!/backup*
编辑/etc/default/aide
sudo nano /etc/default/aide
您可以在以下行中启用/禁用每日 cron 任务
CRON_DAILY_RUN=yes
如果是,则更改行
[email protected]
(例如配置本地邮件传递msmtp)
想一想这句话:
COPYNEWDB=no
aide将所有受监控文件的哈希值存储在数据库中。下次运行时,将新计算的哈希值与数据库中的旧哈希值进行比较,并记录更改。COPYNEWDB=no永远不会覆盖旧数据库。理想情况下,第一个数据库是在新安装的干净系统上创建的。因此,每次运行aide都会显示自重新安装以来的变化。使用,新创建的数据库将覆盖旧数据库。因此,文件始终与上次运行(即前一天)进行比较。可以在日志文件或每日电子邮件报告中COPYNEWDB=yes找到较长时间内的变化。aide
TRUNCATEDETAILS=yes
FILTERUPDATES=yes
FILTERINSTALLATIONS=yes
如果将这三项设置为是,您将收到每日简短的电子邮件报告。aide检查日志文件/var/log/dpkg.log并隐藏由于软件包安装和安全更新而导致的更改。此设置仅影响电子邮件报告,日志文件aide仍包含对系统的所有更改。
初始化aide
sudo aideinit
在 下创建第一个数据库/var/lib/aide/aide.db.new。根据系统的大小和可用的计算能力,这可能需要一段时间。从那时起,aide将始终将新数据库aide.db.new与旧进行比较aide.db。
首次启动
它将通过 cron 自动启动,但您也可以使用以下命令手动启动它:
sudo /etc/cron.daily/aide
(来源:https://www.techgrube.de/tutorials/mit-aide-einbrueche-auf-einen-ubuntu-server-erkennen)