AIDE 报告文件添加到仅标记为 ACL 的文件夹

aide正在提醒您文件已添加到目录中。它没有根据 ACL 更改或其他任何内容检查它，因为它以前从未见过它。您希望进行此检查，以防添加了您不希望的文件。如果您想忽略特定的文件模式，请!在配置中使用 来否定它。

重新运行aide --init并将 aide.db.new.gz 复制到 aide.db.gz 并重新运行aide --check。一旦它被记录在 aide.db.gz 中，它将按您的预期工作。

你会看到一个干净的结果。

要测试您的配置文件，请更改文件的权限并aide --check再次运行。你会看到这样的东西：

# aide --check
AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2020-01-30 18:20:22

Summary:
  Total number of files:    69135
  Added files:          0
  Removed files:        0
  Changed files:        1


---------------------------------------------------
Changed files:
---------------------------------------------------

changed: /tmp/blah

---------------------------------------------------
Detailed information about changes:
---------------------------------------------------


File: /tmp/blah
 Perm     : -rw-r--r--                       , -rw-------
 ACL      : old = A:
----
user::rw-
group::r--
other::r--
----
                  D: <NONE>
            new = A:
----
user::rw-
group::---
other::---
----
                  D: <NONE>

要忽略新文件，您需要专门将其添加到aide.conf. 如参考中所述，如果您想扫描 /var/log/messages 而不是 /var/log/messages.[0-9] 您可以执行以下操作：

=/var/log/messages$ R+a
!/var/log/messages\.[0-9]$

现在只有以数字 0-9 结尾的消息文件不包含在数据库中。请注意，入侵者可以通过创建一个名为messages.9 的目录来伪装rootkit。如果messages.9 尚不存在，那就是。

参考

助手文档