이전에는 CentOS 7에서 AIDE를 사용하고 있었는데 검사에서 AIDE 폴더를 쉽게 포함하거나 제외할 수 있었습니다.
다음과 같이 폴더를 포함하거나 제외할 수 있는 사전 정의된 규칙이 이미 있습니다.
# Exclude subfolder
!/usr/src/
# Include this folder with rule defined in CONTENT_EX
/usr/ CONTENT_EX
그러나 새 버전의 AIDE가 출시되면서 Debian 10이 폴더를 포함하거나 제외하는 방법을 이해할 수 없는 것 같습니다. 하지만 방금 여기에 미리 정의된 규칙이 많이 있다는 것을 발견했습니다 /etc/aide/aide.conf.d. 이 새로운 보좌관은 파일이나 폴더 변경 사항을 검색할 때 포함할 폴더와 사용할 규칙을 어떻게 알 수 있습니까?
또 다른 질문: 새로운 제외 또는 포함 폴더를 작성하는 가장 좋은 방법은 무엇입니까? 새로운 규칙을 추가해야 할까요 /etc/aide/aide.conf.d? hidden여기에서 문서를 찾았 https://aide.github.io/doc/지만 이에 대해 아무 것도 언급하지 않습니다.
hidden이 문서가 홈페이지에 공개되지 않아서 이런 얘기를 하는데 , aide.github.io문서에 들어가려면 이렇게 하위 URL을 입력해야 합니다./doc/
답변1
를 보면 /etc/aide/aide.conf맨 아래에 다음 줄이 표시됩니다.
@@x_include /etc/aide/aide.conf.d ^[a-zA-Z0-9_-]+$
이 줄에는 다음의 모든 스캔 규칙이 포함됩니다./etc/aide/aide.conf.d/*
AIDE에서 스캔이 작동하려면 포함 규칙이 1개 이상 있어야 합니다. 따라서 /etc/aide/aide.conf.d/폴더 내부에는 실제로 검사된 폴더가 포함된 예제 규칙 중 하나가 있습니다.
99_aide_root
위 파일의 내용은 다음과 같습니다.
# this is the catch-all rule that includes everything that is not restricted by earlier rules
# this rule is deliberately unrestricted
/ Full
해당 디렉터리를 검사에 /포함한다는 의미 이고, 두 번째 매개변수는 from으로 정의된 규칙을 사용한다는 뜻이다.rootFullFull/etc/aide/aide.conf
따라서 aide위의 규칙을 사용하면 기본적으로 스캔의 모든 것이 포함됩니다. 따라서 include규칙에 대해 걱정할 필요가 없습니다 . 주의해야 할 것은 특정 폴더나 파일을 무시하는 제외 규칙입니다. 따라서 특정 폴더나 파일을 제외하려면 다음 위치에 파일을 생성할 수 있습니다./etc/aide/aide.conf.d/myrule
myrule에서는 다음과 같이 작성할 수 있습니다.
# Exclude subfolder
!/usr/src/
마지막으로 해당 폴더는 스캔에 포함되지 않습니다.