AIDE sagte mir nur das er Differenzen gefunden hat aber nicht welche?
Hallo, ich verwende eine SLES 10 mit aide-0.11-12.2 mit der mitgelieferten Default /etc/aide.conf. Mit "aide --init" hab ich die initiale DB /var/lib/aide/aide.db.new erzeugt. Diese dann mit "cp /var/lib/aide/aide.db.new /var/lib/aide/aide.db" umkopiert. Nach verschiedenen Filesystemänderungen gibt mir "aide --check" folgendes aus: AIDE found differences between database and filesystem!! Summary: Total number of files: 95145 Added files: 1573 Removed files: 3 Changed files: 3 Nur wie kann ich sehen welche Dateien (1573) hinzugekommen sind welche gelöscht und welche verändert? Leider habe ich dazu nichts bei google gefunden! Gruß Armin
Armin Irger wrote:
[...] Nur wie kann ich sehen welche Dateien (1573) hinzugekommen sind welche gelöscht und welche verändert? Leider habe ich dazu nichts bei google gefunden!
Kenne aide nicht, aber vermute mal, dass es sicher einen Option hat, um den Verbosity-Level anzupassen. Evtl. muss der eben erhoeht werden, wenn man statt einer kurzen Zusammenfassung einen ausfuehrlichereren Report will. Ist bei anderen Programmen ja aehnlich. Cheers, Th. PS: Bitte keine sinnlosen .vcf Anhaenge an eine Mailingliste senden! -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Mon, 14. May 2007 23:34:29 Thomas Hertweck wrote:
Armin Irger wrote:
[...] Nur wie kann ich sehen welche Dateien (1573) hinzugekommen sind welche gelöscht und welche verändert? Leider habe ich dazu nichts bei google gefunden!
Kenne aide nicht, aber vermute mal, dass es sicher einen Option hat, um den Verbosity-Level anzupassen. Evtl. muss der eben erhoeht werden, wenn man statt einer kurzen Zusammenfassung einen ausfuehrlichereren Report will. Ist bei anderen Programmen ja aehnlich.
Nanu, das wundert mich aber, dass du aide nicht kennst. (hätte ich vom TH gar nicht erwartet) *grins* Immerhin hat aide berreits einmal den Debian Leuten im wahrsten Sinne des Wortes "den A.. gerettet". Durch AIDE haben sie damals gemerkt das klecker einer der Debian Rechner gehackt wurde. AIDE ist neben snort (plus acidbase) eines der wertvollsten Werkzeuge zur zur Erkennung und Absicherung von Systemen gegen Angriffe. Solltest du dir unbedingt mal näher ansehen. regards, und nichts für ungut, ;-) thomas -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo! email.listen@googlemail.com wrote: ^^^^^^^^^^^^^^^^^^^^^^^^^^^ Warum traegst Du bei KMail nicht mal Deinen Namen als "From" ein, das liest sich dann doch besser. Wenn Du Deinen vollen Namen nicht nennen willst, dann trage halt einfach nur "Thomas" ein, das schreibst Du ja auch unter die Emails drunter... ;-)
[...] Nanu, das wundert mich aber, dass du aide nicht kennst. (hätte ich vom TH gar nicht erwartet) *grins*
Warum? Zuhause brauche ich es nicht wirklich, und in der Firma haben wir Spezialisten, die sich um die Sicherheit unserer Systeme kuemmern - insofern habe ich mich eben mit aide oder tripwire etc. noch nie auseinander gesetzt oder auseinander setzen muessen...
[...] Solltest du dir unbedingt mal näher ansehen.
Kommt Zeit, kommt Rat. Cheers, Th. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Armin On Sun, 6. May 2007 01:01:03 Armin Irger wrote:
Hallo,
ich verwende eine SLES 10 mit aide-0.11-12.2 mit der mitgelieferten Default /etc/aide.conf. Mit "aide --init" hab ich die initiale DB /var/lib/aide/aide.db.new erzeugt. Diese dann mit "cp /var/lib/aide/aide.db.new /var/lib/aide/aide.db" umkopiert. Nach verschiedenen Filesystemänderungen gibt mir "aide --check" folgendes aus:
AIDE found differences between database and filesystem!!
Summary: Total number of files: 95145 Added files: 1573 Removed files: 3 Changed files: 3
Nur wie kann ich sehen welche Dateien (1573) hinzugekommen sind welche gelöscht und welche verändert? Leider habe ich dazu nichts bei google gefunden!
Auf meinem System schickt AIDE regelmässig eine mail an root in der die Änderungen fein säuberlich aufgelistet sind. Da es ein Debian System ist gibt es zwei grundsätzliche conf files und ein cron script. (Bin mir nicht sicher ob SLES das auch so handhabt, evtl stehen die Parameter bei dir in nur einem file) Interessant sollten für dich die Variablen "MAILTO=root" und "LINES=2000" sein. MAILTO definiert an wen der Report geht und LINES wieviele Zeilen lang er maximal sein soll. ---8<--- /etc/aide.conf ---8<--- # AIDE conf database=file:/var/lib/aide/aide.db database_out=file:/var/lib/aide/aide.db.new # Falls AIDe zu lange braucht und dadurch das System merklich # ausbremst evtl. die folgende Zeile auf # Checksums = md5+sha1 # kürzen. Dadurch werden nur md5 und sha1 Checksummen erzeugt. # Oder den cron job zu einer Zeit starten lassen an dem wenig # Last auf dem System herrscht, siehe man cron. Checksums = md5+sha1+rmd160+haval+gost+crc32+tiger+whirlpool OwnerMode = p+u+g Size = s+b InodeData = OwnerMode+n+i+Size RamdiskData = InodeData-i StaticFile = m+c+Checksums Full = InodeData+StaticFile VarFile = OwnerMode+n VarDir = OwnerMode+n+i RotatedLogs = Full+I Logs = OwnerMode+n+S LowLogs = Logs-S LinkedLogs = Logs-n ---8<--- ---8<--- ---8<--- ---8<--- /etc/default/aide ---8<--- # These settings are mainly for the wrapper scripts around aide, # such as aideinit and /etc/cron.daily/aide # This is used as the host name in the AIDE reports that are sent out # via e-mail. It defaults to the output of $(hostname --fqdn), but can # be set to arbitrary values. # FQDN= # This is used as the subject for the e-mail reports. MAILSUBJ="Daily AIDE report for $FQDN" # This is the email address reports get mailed to # default is root # This variable is expanded before it is used, so you can use variables # here. For example, MAILTO=$FQDN-aide@domain.example will send the # report to host.name.example-aide@domain.example is the local FQDN is # host.name.example. MAILTO=root # Set this to yes to suppress mailings when no changes have been # detected during the AIDE run and no error output was given. #QUIETREPORTS=no # This parameter defines which AIDE command to run from the cron script. # Sensible values are "update" and "check". # Default is "check", ensuring backwards compatibility. # Since "update" does not take any longer, it is recommended to use "update", # so that a new database is created every day. The new database needs to be # manually copied over the current one, though. COMMAND=update # This parameter defines what to do with a new database created by # COMMAND=update. It is ignored if COMMAND!=update. # no: Do not copy new database to old database. This is the default. # yes: Copy new database to old database. This means that changes to the # file system are only reported once. Possibly dangerous. # ifnochange: Copy new database to old database if no changes have # been reported. This is needed for ANF/ARF to work reliably. COPYNEWDB=no # This parameter defines how many lines to return per e-mail. Output longer # than this value will be truncated in the e-mail sent out. LINES=2000 # This parameter gives a grep regular expression. If given, all output lines # that _don't_ match the regexp are listed first in the script's output. This # allows to easily remove noise from the AIDE report. NOISE="" # This parameter defines which options are given to aide in the daily # cron job. The default is "-V4". AIDEARGS="" # These parameters control update-aide.conf and give the defaults for # the --confdir and --confd options # UPAC_CONFDIR="/etc/aide" # UPAC_CONFD="$UPAC_CONFDIR/aide.conf.d" ---8<--- ---8<--- ---8<--- Das cron file zu posten spar ich mir erst einmal, es ist zum einen 16K gross und zum anderen sollte SLES selber eines bereitstellen. Wenn du daran interessiert bist sag bescheid, ich schicks dann per PM. Falls der cron job des AIDE bei dir sehr lange braucht solltest du überlegen ob du AIDE nicht von der Indizierung einiger Verzeichnisse und Dateien abhältst. (Bei mir auf dem System sind einige Partitionen die recht viele Daten enthalten und die ich mit noexec mounte, diese Partitionen hab ich von der indizierung ausgeschlossen in dem ich in /etc/aide.conf.d/ eigene Indizierungsregeln definiert habe. Die Datei 31_exclude-homes ist ein shell script aus dem aide/examples/ Verzeichnis, es muss daher executable sein. ---8<--- /etc/aide.conf.d/31_exclude-homes ---8<--- #!/bin/bash # this excludes the home directories of system accounts with # uid >= 1000 from the AIDE check. getent passwd | awk -v FS=":" '{ if( $3 >= 1000) { print "!" $6 }}' ---8<--- ---8<--- ---8<--- Die Datei /etc/cat aide.conf.d/31_exclude_local ist eine einfache Datei mit aide Regeln. Sie braucht nicht wie ein script execute Rechte. read Rechte reichen. ---8<--- /etc/cat aide.conf.d/31_exclude_local ---8<--- !/data/.* # exclude /data ---8<--- ---8<--- ---8<--- Ich hoffe das hilft dir weiter. regards, thomas -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (3)
-
Armin Irger
-
email.listen@googlemail.com
-
Thomas Hertweck