在长期安装的机器上安装 Aide 有什么意义吗?还是只有在全新安装后立即安装或从拇指驱动器运行时才值得信赖?
背景:
一个不懂技术的朋友有一台笔记本电脑,我帮助他继续做生意。它最初安装 14.04 LTS 并升级到 16.04 LTS。他只有一个用户密码,没有root密码,也不在sudo组中。我曾多次告诉他不要点击未知附件,但我知道有时他仍会尝试打开一些内容,例如视频附件,来自可能被黑客入侵的朋友、感染病毒等。
最近笔记本电脑一直“变慢”,就我知道如何检查的相当基本的事情而言,我看不出有充分的理由(磁盘未满,未交换,顶部在不同时间显示 2-5 个项目,每个使用 < 2-5% 等)。也许我应该先检查更多这些基本的东西,但我觉得它被黑客入侵或 rootkitted 有点偏执。
我曾经在我的所有服务器上使用 Tripwire,所以我熟悉它如何构建数据库,然后监控与之相比的变化。如果笔记本电脑的文件已经被黑客入侵,并且 Aide 的工作方式相同,那么这将无济于事。但是,如果 Aide 有一些安全的方法来检查二进制文件的存储库版本,那么我想它可以告诉我我是否安全,而无需全新安装。
显然,全新安装将是最安全的方法,但他在 400 公里之外,并且在缓慢的卫星互联网上,所以全新安装需要大量的努力。