+ Responder ao Tópico



  1. #1

    Padrão relatorio do AIDE errado

    E ai pessoal, preciso de uma ajuda de voces, alguem poderia me ajudar
    com AIDE que estao rodando dentro Slackware 9.1, tenho executado ele
    alguns dias e o relatorio que ele esta me gerando depois da analise é este logo abaixo, eu sei la é muito estranho este tipo de resultado parece que o problmea esta no diretorio
    " /proc/ ", abaixo coloquei o conteudo do report que o AIDE
    me mostrou nos ultimos relatorios

    error mmap'ing /proc/kcore
    do_md()pen() for /proc/acpi/event failedevice or resource busy
    error mmap'ing /proc/bus/pci/01/00.0
    error mmap'ing /proc/bus/pci/00/11.0
    error mmap'ing /proc/bus/pci/00/10.0
    error mmap'ing /proc/bus/pci/00/07.3
    error mmap'ing /proc/bus/pci/00/07.2
    error mmap'ing /proc/bus/pci/00/07.1
    error mmap'ing /proc/bus/pci/00/07.0
    error mmap'ing /proc/bus/pci/00/01.0
    error mmap'ing /proc/bus/pci/00/00.0
    error mmap'ing /proc/bus/usb/001/001
    do_md()pen() for /proc/32266/mem failed:No such file or directory
    do_md()pen() for /proc/32266/mounts failed:Invalid argument
    open_dir():No such file or directory: /proc/32266/task
    open_dir():No such file or directory: /proc/32266/fd
    do_md()pen() for /proc/4215/mem failed:No such file or directory
    do_md()pen() for /proc/4215/mounts failed:Invalid argument
    open_dir():No such file or directory: /proc/4215/task
    open_dir():No such file or directory: /proc/4215/fd
    do_md()pen() for /proc/4255/mem failed:No such file or directory
    do_md()pen() for /proc/4255/mounts failed:Invalid argument
    open_dir():No such file or directory: /proc/4255/task
    open_dir():No such file or directory: /proc/4255/fd


    Abaixo coloquei o arquivo de configuracao do AIDE.conf

    # Arquivo de configuracao do AIDE
    #
    #
    #@@define TESTMODE yes

    # Defaults
    @@define ROOT /

    #Pasta do banco de dados do AIDE

    @@define DBDIR /mnt/aidedb
    report_url=file:@@{DBDIR}/report
    verbose=100
    gzip_dbout=yes

    # Rescrever mesmo padrao se em mode test
    @@ifdef TESTMODE
    @@define ROOT /root/simulated_root
    verbose=255
    gzip_dbout=no
    @@endif

    database=file:@@{DBDIR}/aide.db
    database_out=file:@@{DBDIR}/aide.db.new

    #Metdo de permissao e checksum a ser utilizado
    Perms_only=R+b
    Checksums_only=md5+sha1+rmd160+tiger
    padrao=R+b+Checksums_only
    Logfiles=>

    # Lista de diretorio a serem checados e qual metdo a ser feito

    @@{ROOT} padrao
    @@{ROOT}etc padrao
    @@{ROOT}sbin padrao
    @@{ROOT}dev padrao
    @@{ROOT}var padrao
    @@{ROOT}var/log/.*log Logfiles
    @@{ROOT}var/log/messages Logfiles
    @@{ROOT}var/log padrao
    [email protected]@{ROOT}var/spool/.*
    [email protected]@{ROOT}tmp Perms_only


    Obrigado ai pessoal


    Se alguem souber onde exista um bom howtow oi cosa parecida do AIDE me avise
    6)

  2. #2

    Padrão Re: relatorio do AIDE errado

    Citação Postado originalmente por aspenbr
    @@{ROOT} padrao
    @@{ROOT}etc padrao
    @@{ROOT}sbin padrao
    @@{ROOT}dev padrao
    @@{ROOT}var padrao
    @@{ROOT}var/log/.*log Logfiles
    @@{ROOT}var/log/messages Logfiles
    @@{ROOT}var/log padrao
    [email protected]@{ROOT}var/spool/.*
    [email protected]@{ROOT}tmp Perms_only
    Veio o problema tah aqui:
    @@{ROOT} padrao

    Tu tah mandando verificar toda a raiz /....
    Por isso ele tenta checar o /proc...

    E nao eh pra verificar o /proc...

    Oka? :good:



  3. #3

    Padrão relatorio do AIDE errado

    :toim: Eu fiz isto tirei esta linha e deixei apenas os diretorios indicados e nem mais ta gerando o relatorio !! vc tem exemplo de algum arquivo aide.conf que funcione bem ? 6) Obrigado ai pela ajuda

  4. #4

    Padrão relatorio do AIDE errado

    Depois que voce tirou essa linha voce rodou um:
    # aide -u

    Para atualizar a base?

    depois dah um:

    # aide -C

    Se ele falar que tah tudo "OK" otimo :P

    Tou usando esse conf. em um dos meus servidores:
    # Example configuration file for AIDE.

    @@define DBDIR /var/lib/aide

    # The location of the database to be read.
    database=file:@@{DBDIR}/aide.db.gz

    # The location of the database to be written.
    #database_out=sql:hostort:database:login_nameasswd:table
    #database_out=file:aide.db.new
    database_out=file:@@{DBDIR}/aide.db.new.gz

    # Whether to gzip the output to database
    gzip_dbout=yes

    # Default.
    verbose=5

    report_url=file:/var/log/aide.log
    report_url=stdout
    #report_url=stderr
    #NOT IMPLEMENTED report_url=mailto:[email protected]
    #NOT IMPLEMENTED report_url=syslog:LOG_AUTH

    # These are the default rules.
    #
    #p: permissions
    #i: inode:
    #n: number of links
    #u: user
    #g: group
    #s: size
    #b: block count
    #m: mtime
    #a: atime
    #c: ctime
    #S: check for growing size
    #md5: md5 checksum
    #sha1: sha1 checksum
    #rmd160: rmd160 checksum
    #tiger: tiger checksum
    #haval: haval checksum
    #gost: gost checksum
    #crc32: crc32 checksum
    #R: p+i+n+u+g+s+m+c+md5
    #L: p+i+n+u+g
    #E: Empty group
    #>: Growing logfile p+u+g+i+n+S

    # You can create custom rules like this.

    NORMAL = R+b+sha1

    DIR = p+i+n+u+g

    # Next decide what directories/files you want in the database.

    /boot NORMAL
    /bin NORMAL
    /sbin NORMAL
    /lib NORMAL
    /opt NORMAL
    /usr NORMAL
    #/root NORMAL

    # Check only permissions, inode, user and group for /etc, but
    # cover some important files closely.
    /etc p+n+u+g
    # /etc p+i+u+g

    /var/log p+n+u+g
    !/var/log/sa/sa??
    !/var/log/sa/sar??

    # With AIDE's default verbosity level of 5, these would give lots of
    # warnings upon tree traversal. It might change with future version.
    #
    #=/lost\+found DIR
    #=/home DIR



  5. #5

    Padrão relatorio do AIDE errado

    E ai cara blz , olha boas noticias consgui com a sua do aide.conf executar o AIDe sem problemas , so tem um detalhe pendente que é seguinte quando executo o banco aide --init ele cria um banco novo e depois eu dou comando para ele atualizar o banco aide --update ou --u ele gera a menssagem que nao tem este arquivo no meu diretorio /var/lib/aide/aide.db.gz , nao entendi este memssagem pq dentro desta pasta existe este arquivo aide.db.new.gz, ai o que eu faco copio o arquivo aide.db.new.gz para aide.db.gz e com permissao tudo certinho, blz , executo de novo aide -u ele faz a compracao e mostra que esta tudo ok, mais ele continua ainda nao gerando o relatorio /var/log/aide.log o arquivo ou fica apenas com a menssagem que os bancos de dados estao ou nao iguais , ou fica vazio , nao mostra o detalhe dos arquivo o que mexido ou coisa parecida, que era para o relatorio realmene mostrar , como é saida do seu relatorio ? e como vc executa a rotina do aide , obrigado ai DROPALL

    :toim:

  6. #6

    Padrão relatorio do AIDE errado

    Citação Postado originalmente por aspenbr
    E ai cara blz , olha boas noticias consgui com a sua do aide.conf executar o AIDe sem problemas , so tem um detalhe pendente que é seguinte quando executo o banco aide --init ele cria um banco novo e depois eu dou comando para ele atualizar o banco aide --update ou --u ele gera a menssagem que nao tem este arquivo no meu diretorio /var/lib/aide/aide.db.gz , nao entendi este memssagem pq dentro desta pasta existe este arquivo aide.db.new.gz, ai o que eu faco copio o arquivo aide.db.new.gz para aide.db.gz e com permissao tudo certinho, blz , executo de novo aide -u ele faz a compracao e mostra que esta tudo ok, mais ele continua ainda nao gerando o relatorio /var/log/aide.log o arquivo ou fica apenas com a menssagem que os bancos de dados estao ou nao iguais , ou fica vazio , nao mostra o detalhe dos arquivo o que mexido ou coisa parecida, que era para o relatorio realmene mostrar , como é saida do seu relatorio ? e como vc executa a rotina do aide , obrigado ai DROPALL

    :toim:
    Seguinte, eh assim mesmo, ele gera o novo banco com "new" no meio.. ae vc joga em cima do antigo ou guarda o antigo para futuras comparacoes... sakou?
    Agora se quiser sempre gravar em cima do atual (oke nao recomendo muito), voce basta mudar a linha:
    database_out=file:@@{DBDIR}/aide.db.new.gz
    para:
    database_out=file:@@{DBDIR}/aide.db.gz

    Agora o aide.log eh para isso mesmo, quando voce roda uma checagem/update ele joga o log dessa checagem dentro do aide.log... apenas quando voce roda o aide -C ou -u

    SE o seu estah dizendo que estah tudo ok, entao eh pq nada foi modificado ou criado (dependedo das tuas regras) entao ele nao reclama... Voce tah usando exatamente o meu aide.conf? se sim, e quiser testar... cria ou move um arquivo para dentro dos diretorios /boot, /bin e etc..... e roda o aide -C denovo... com certeza vai avisar que encontrou diferencas... e entao SE voce quiser, roda o aide update para adicionar as mudancas no banco de dados, se nao, deixa como tava....
    blz? :good:



  7. #7

    Padrão relatorio do AIDE errado

    otimo valeu pela explicacao , :good: cara agora to tentando aqui fazer a saida do relatorio do AIDE ficar parecida com esta aqui 8)

    AIDE foud differences between database and filesystem !!
    Start timestamp : 2000-10-13 13:15:41
    Summary

    Total number of files=9566,added files=0, removed files=0, changed file=6

    changed files;
    changed:sbin/ifup
    changed:/sbin/ypbind
    changed:/sbin/iwconfig
    changed:/root
    changed:/root/.ssh

    File: /sbin/iifup
    Uid: old = 8, new = 116


    Filke: /sbin/uugtty
    Permissions: old = -rwxr-xr-x, new = -rwsr-xr-x

    File: /sbin/ypbind
    Permissions: old = -r-xr-xr-x , new = -rwsr--xr-x
    Ctime: old = 200-04-19 04:43:03, new = 2000-09-17 15:19:36

    6) Este relatorio que eu postei é um exemplo do livro Hacking Linux Exposed
    o relatorio que eu to tendo na minha maquina so mostra :

    Total number of files=9566,added files=0, removed files=0, changed file=6

    eu preciso saber como faz pra mostrar como exemplo do livro, tem uma ideia como faz isto cara ?

  8. #8

    Padrão relatorio do AIDE errado

    Ahm... quando voce faz alguma modificacao como dei de exemplo, ele so diz que algo foi modificado mas nao diz "O QUE" foi?....

    Eh, isso naum estah normal pq comigo aparece tudo que mudou.. qual a versao do seu AIDE ?



  9. #9

    Padrão relatorio do AIDE errado

    E ai DROP ALL blz cara , consegue resolver a questao sobre o relatorio , coloquei o VERBOSE=100 e relatorio ja mais detalhado , valeu ai pela ajuda obrigado :good:

  10. #10

    Padrão relatorio do AIDE errado

    Hum... interessante, no meu nao precisei setar o verbose :P

    mas blz

    Qualquer coisa, só falah... :good: