我正在使用 Linux 助手来监视更改的文件。有些文件我不想检查,因为它们经常更改并且不重要。 /root/.cpanel/datastore/Cpanel::Net::Whois::IP::Cached_109.178.128.244 我想排除这些文件,所以我在配置文件(aide.conf)中使用了以下规则: !/root/\.cpanel/datastore/Cpanel::Net::Whois::IP::Cached_\d{3}\.\d{3}\.\d{3}\.\d{2,3}$ 我用测试过https://regex101.com/并且与文件匹配。 A...
我在 Ubuntu 22.04 上安装了 aide,并保留了默认配置。运行后,我收到一封电子邮件报告,表明一切顺利。请参阅下面的报告。 和/var/lib/aide/aide.db.new为零/var/lib/aide/aide.db字节。设备上有足够的可用空间,我在日志文件中找不到任何异常。 关于如何寻找该问题的原因,您有什么想法吗? AIDE returned with exit code 1. Added entries detected! AIDE produced no errors. ****************************...
使用 AIDE 时是否可以比较更改的文件?在自动电子邮件中,只会比较 SHA256。如果我能看到更改的内容,那就太酷了,也许可以通过 diff 或其他方式看到。 谢谢您的回复!您好 ...
我正在尝试设置助手我在我的 ubuntu 服务器上安装了 IDS,我按照官方的安装指南进行操作,但是当我尝试使用命令“更新助手配置文件“生成新配置时出现错误 $ update-aide.conf: command not found 我尝试使用以下方法在系统中搜索文件寻找但什么也没找到: $ sudo find / -name "update-aide.conf" $ 我尝试多次重新安装助手,但仍然出现同样的错误。 系统:Ubuntu 22.04 LTS 服务器 - 1GB 内存 ...
我的问题是关于 AIDE 在每日电子邮件报告中为每个文件显示的标志。例如,对于新文件,其显示如下: f++++++++++++++++: /var/cache/apt/archives/squashfs-tools_1%3a4.4-1ubuntu0.1_amd64.deb 我可以推断出f代表文件,我也看到d代表目录。但是这里可能还会出现什么其他标志? 那么++++++++++++++++,它有什么含义吗? 现在对于修改过的文件来说事情变得更有趣了: d =.... mc.. .. : /run/motd.d/fwupd f =.... mci.... ...
很高兴能在这里提出我的第一个问题! 我正在使用 AIDE 进行文件完整性检查。今天我偶然看到了一篇文章,其中详细介绍了一种无需触碰文件系统即可运行恶意软件植入程序的技术,即使用memfd。 本文可访问这里 现在我的问题是 AIDE 是否支持扫描memfd?在 Google 上搜索没有找到太多信息。 如果没有其他系统能够扫描memfd文件系统吗? X。 ...
每这个帖子, 较新版本的 Ubuntu(包括 14.04)附带两个用于 AIDE 的软件包: aide, with the aide command and manual page, and little else aide-common, with a wrapper around that command, configuration files with rules, and cron configuration files that will cause AIDE to be run nightly 如果您的 AIDE 像这样捆绑,尝试直接运...
![同时收到来自 [email protected] 的同一封电子邮件。不知道它来自哪里](https://linux22.com/image/754584/%E5%90%8C%E6%97%B6%E6%94%B6%E5%88%B0%E6%9D%A5%E8%87%AA%20%5Bemail%20protected%5D%20%E7%9A%84%E5%90%8C%E4%B8%80%E5%B0%81%E7%94%B5%E5%AD%90%E9%82%AE%E4%BB%B6%E3%80%82%E4%B8%8D%E7%9F%A5%E9%81%93%E5%AE%83%E6%9D%A5%E8%87%AA%E5%93%AA%E9%87%8C.png)
我创建了一个 AIDE 脚本,它可以监控我主机上的文件更改,当某个文件发生更改时,它会发送有关更改的警报电子邮件。在我看来,我不认为这个脚本有问题。所以无论如何,让我与你分享一下: 以下是我的 git repo 中的脚本: AIDE 脚本计划任务 为了运行这个脚本,我让 cronjob 每 20 分钟运行一次,如下所示: */20 * * * * root /usr/local/bin/maxicron/aide/maxiaide cron > /dev/null 该脚本在发出警报消息方面做得很好,但最近我注意到我不断收到来自该脚本的同一封电子邮件,该...
我有一台配置了 AIDE 的服务器,我正在尝试排除误报。今天早上我收到一条警报,说一个文件被添加到一个文件夹中,我认为除非我理解错了,否则这个文件夹应该只在 ACL 更改时发出警报。 以下是配置文件的相关部分: ... # Access control only. PERMS = p+u+g+acl+selinux+xattrs ... /var/run/faillock/ PERMS 我运行时生成警报aide --check: AIDE 0.15.1 found differences between database and filesyste...
我收到 SELinux 拒绝,表明/usr/sbin/aide正在尝试访问 SSSD 使用的套接字:套接字路径为/var/lib/sss/pipes/nss。以下是来自 sealert 的相关文本: Additional Information: Source Context system_u:system_r:aide_t:s0-s0:c0.c1023 Target Context system_u:object_r:sssd_var_lib_t:s0 Target Objects ...
安装AIDE需要遵循一个初始化过程。 aide: pkg: - installed 现在以下命令只需运行一次: /usr/sbin/aide --config=/etc/aide.conf --init mv -f /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz 如何在状态文件中管理它? ...
我正在尝试通过安装 AIDE 来使我的 Alpine 实例更安全,但它似乎不在存储库中: #apk add aide fetch http://dl-cdn.alpinelinux.org/alpine/v3.8/main/x86_64/APKINDEX.tar.gz fetch http://dl-cdn.alpinelinux.org/alpine/v3.8/community/x86_64/APKINDEX.tar.gz ERROR: unsatisfiable constraints: aide (missing): required ...
好的,我已经在 Puppet 上工作了 12 个月,我正在部署清单来安装“aide”包,但我看不到任何选项可以在安装包后触发“aide”的“初始化”。在“package”指令中没有“notify”函数。我该如何让它工作? ...
我有一台运行 AIDE 的服务器,运行的 cron 作业执行 bash 脚本并发送电子邮件警报。它仍处于 WIP 阶段,但我无法让脚本正常运行。执行脚本时,我在此处定义的输出文件/sbin/aide --check > /tmp/$AIDEOUT仍为空文件。我甚至尝试了一个简单的方法/bin/echo "hello world" > /tmp/$AIDEOUT,但似乎也不起作用。/tmp/$AIDEOUT文件仍然是空的。 但是,如果我不使用 Cron 手动运行该脚本,它可以正常运行。 这是我的 bash 脚本 #!/bin/bash PA...
我建立了一个非常简单的服务器,并尝试使用一些我认为还不错的工具和指南来确保它的安全。 我想到了使用 AIDE,它作为入侵检测系统的实现速度很快。我每天都会进行检查,它会将冻结系统状态、数据库和当前系统状态之间的文件系统级别不匹配的结果通过邮件发送给我。效果很好。 下面我假设 AIDE 数据库放在只读设备上,例如写锁定的 USB 驱动器。 现在我想到了一些场景。攻击者以某种方式进入系统并注意到 AIDE 正在系统上运行。这个聪明的家伙已经有了一个不错的工具,它可以替换 AIDE 的可执行文件,这样他的工作就不会通过邮件显示给我,但正常的系统更改(如日志文...