IDS Linux security AIDE Sécurité système
aide.conf
Fichier de configuration aide
Configuration
database url depuis laquelle la base est lue.database_out url où écrire la nouvelle base
database_new url où trouver d'autres base pour --compare
database_attrs Attributs des fichiers de base qui sont ajouté au rapport final en mode verbeux l2+.
database_add_metadata (bool) Ajoute la version AIDE et la date de la génération de la base en commentaire du fichier de base.
verbose Verbosité des messages (0-255)
report_url url où écrire la sortie. Peut être spécifié plusieurs fois
report_base16 (bool) encode en base16 les checksum dans les rapport au lieu de base64
report_detailed_init (bool) Ajoute les fichiers (verbole =2) et leurs détails (verbose =7) dans le mode initialisation.
report_quiet (bool) supprime la sortie de rapport si aucune différence dans la base n'a été trouvée
gzip_dbout (boo) compresse la sortie de la base.
root_prefix Préfixe en enlever de chaque nom de fichier dans le système de fichier avant d'appliquer les règles et l'écriture en base.
acl_no_symlink_follow (boo) suit les liens symboliques
warn_dead_symlinks (bool) Alerte sur les liens morts
grouped (bool) groupe les fichiers dans le rapport par fichiers ajoutés, supprimés ou changés
summarize_changes (bool) créé un sommaire dans les sections des fichiers ajoutés, supprimés, ou changés.
Le format général est YlZbpugamcinCAXSE:
Y Type de fichier (f,d,l,c,b,p ou s, ! si le type a changé, et ? sinon)
Z = indique que la taille a changé, reporte une taille réduite, et une taille augmentée
Les autres lettres sont affichées si l'attribut associé a été changé, ou un '.' pour aucun changement, '+' si l'attribut a été ajouté, '-' s'il a été supprimé, ':' s'il est ignoré ou ' ' si l'attribut n'a pas été vérifié. Exception: (1) un fichier nouvellement créé remplace chaque lettre avec '+', (2) un fichier supprimé remplace chaque lettre avec '-'. L'attribut associé avec chaque lettre:
l le nom du lien a changé
b Le compteur de block a changé
p Les permissions ont changé
u l'uid a changé
g le gid a changé
a La date d'accès a changé
m La date de modification a changé
c La date de changement a changé
i L'inode a changé
C Un ou plusieurs checksum a changé
A L'acl a changé
X les attributs étendus ont changés
S Les attributs SELinux ont changé
E Les attributs de fichier dans le fs ext2 ont changé
report_ignore_added_attrs Liste d'attributs dont l'ajout est ignoré du rapport final
report_ignore_removed_attrs Liste d'attributs dont la suppression est ignoré du rapport final
report_ignore_e2fsattrs Liste sans délimiteur d'attributs de fichier ext2 qui sont ignorés dans le rapport final. voir chattr. 0 = ignore tous les attributs.
config_version Valeur affichée dans le rapport et dans la base.
Group definitions Si le paramètre n'est pas un des précédents paramètres, il est considéré comme une définition de groupe. La valeur est considérée comme une expression.
Sélections
AIDE supporte 3 type de lignes de sélection:Expression régulière regex group
Sélection négative !regex
Sélection d'égalité =regex group
Chaque expression régulière doit commencer par '/'. Un '^' implicite est ajouté à chaque expression.
Sélection restreinte
Ces lignes sont des lignes de sélection mais peuvent être restreint à des types de fichier. Les types suivants sont supportés:f fichier régulier
d répertoire
l lien symbolique
c fichier caractère
b Fichier block
p FIFO
s Socket UNIX
Les types sont séparés par un ','. La syntaxe est la suivante:
sélection restreinte normale
regex file types group
Selection inversée
!regex file types
Sélection égale
=regex file types group
Exemples
N'ajoute que les répertoire et fichier dans la base:/ d,f R
Ajouter tout sauf les répertoires
^/run d
/run R
Utiliser une règle spécifique pour les répertoires
/run d R-m-c-i
/run R
Macro
@@define VAR val Définis une variable@@undef VAR supprime une variable
@@ifdef VAR, @@ifndef VAR Déclaration conditionnelle
@@ifhost hostname, @@ifnhost hostname Déclaration conditionnelle
@@{VAR} Substitution de variable
@@else Définis une partie else d'une déclaration if
@@endif Termine une déclaration if
@@include VAR Inclus de fichier dans la configuration
URL
Les url peuvent être:stdout
stderr
stdin
file://filename
fd:number
Groupe par défaut
p permissionsftype type de fichier
i inode
l nom du lien
u utilisateur
g groupe
s taille
b compteur de block
m mtime
a atime
c ctime
S vérifier si la taille grandis
I ignore le noms de fichier changés
ANF autorise de nouveaux fichiers
ARF autorise les fichiers supprimés
md5
sha1
sha256
sha512
rmd160
tiger
haval
crc32
gost
whirlpool checksums
acl liste de contrôle d'accès
selinux Attributs SELinux
xattrs Attributs étendus
e2fsattrs attributs de fichier dans un fs ext2
R p+ftype+i+l+n+u+g+s+m+c+md5+X
L p+ftype+i+l+n+u+g+X
E groupe vide
X acl+selinux+xattrs+e2fsattrs
p+ftype+l+u+g+i+n+S+X