web-dev-qa-db-ja.com

ACLとマークされたフォルダへのファイル追加のみを報告するAIDE

AIDEで構成されたサーバーがあり、誤検知を排除しようとしています。今朝、何かを誤解しない限り、ACLの変更についてのみ警告する必要があると思われるファイルがフォルダーに追加されたという警告を受け取りました。

設定ファイルの関連部分は次のとおりです。

...
# Access control only.
PERMS = p+u+g+acl+selinux+xattrs
...
/var/run/faillock/ PERMS

そして、aide --checkを実行するとアラートが生成されます:

AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2020-01-30 09:37:22

Summary:
  Total number of files:    69687
  Added files:          1
  Removed files:        0
  Changed files:        0


---------------------------------------------------
Added files:
---------------------------------------------------

added: /var/run/faillock/testfile

関連する場合、OSはCentOS7です。

1
ebarrere

aideは、ファイルがディレクトリに追加されたことを警告しています。これまでに見たことがないため、ACLの変更などに対してチェックしていません。予期しないファイルが追加された場合に備えて、このチェックが必要です。無視したいファイルの特定のパターンがある場合は、!を使用して構成でそれを無効にします。

aide --initを再実行し、aide.db.new.gzをaide.db.gzにコピーして、aide --checkを再実行します。 aide.db.gzに記録されると、期待どおりに機能します。

きれいな結果が表示されます。

構成ファイルをテストするには、ファイルのアクセス許可を変更して、aide --checkを再度実行します。次のようなものが表示されます。

# aide --check
AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2020-01-30 18:20:22

Summary:
  Total number of files:    69135
  Added files:          0
  Removed files:        0
  Changed files:        1


---------------------------------------------------
Changed files:
---------------------------------------------------

changed: /tmp/blah

---------------------------------------------------
Detailed information about changes:
---------------------------------------------------


File: /tmp/blah
 Perm     : -rw-r--r--                       , -rw-------
 ACL      : old = A:
----
user::rw-
group::r--
other::r--
----
                  D: <NONE>
            new = A:
----
user::rw-
group::---
other::---
----
                  D: <NONE>

新しいファイルを無視するには、そのファイルをaide.confに具体的に追加する必要があります。リファレンスに記載されているように、/ var/log/messagesをスキャンしたいが、/ var/log/messagesをスキャンしたくない場合。[0-9]次のようなことができます。

=/var/log/messages$ R+a
!/var/log/messages\.[0-9]$

現在、番号0〜9で終わるメッセージファイルのみがデータベースに含まれていません。侵入者がmessages.9というディレクトリを作成することにより、ルートキットを偽装する可能性があることに注意してください。 messages.9がまだ存在しない場合、それはです。

参照

AIDE doc

0
kenlukas