aide.conf

Section: File Formats (5)
Index Return to Main Contents

НАЗВАНИЕ

aide.conf - Конфигурационный файл для Advanced Intrusion Detection Environment

СИНТАКСИС

aide.conf это конфигурационный файл для Advanced Intrusion Detection Environment. aide.conf содержит данные кофигурации используемые для создания или проверки базы данных aide.

ФОРМАТ ФАЙЛА

aide.conf подобен конфигурационному файлу программы Tripwire (tm). C небольшими усилиями можно перевести tw.conf в aide.conf.

Записи в Aide.conf чувствительны к регистру. Первые и последние пробелы в строке игнорируются.

Существует три типа строк в aide.conf. Во-первых, это строки конфигурации которые используются для установки параметров и назначения/отмены переменных. Второй тип строк используется для выбора файлов добавляемых в базу. Третий- это макросы. Только второй тип строк необходим для работоспособности aide. Строки начинающиеся со знака # игнорируются как коментарии.

СТРОКИ КОНФИГУРАЦИИ

Эти строки имеют формат "параметр=значение". Смотрите URLS для ознакомления со списком возможных.

database: Это URL указывающий на метоположение базы для чтения. Может присутствовать только одна строка этого типа. Если указано несколько, то будет использоваться только первая. Значение по умолчанию "./aide.db".
database_out: URL указывает местоположение для записи новой, только что созданной базы. Может присутствовать только одна строка этого типа. Если указано несколько, то будет использоваться только первая. Значение по умолчанию"./aide.db.new".
verbose: Уровень подробности сообщений на выводе. Это значение может быть между 0 и 255 включительно. Этот параметр задается только один раз. Используется значение указанное первый раз. Если используется --verbose или -V то значение переписывается новым, там указанным. Значение по умолчанию 5. Если подробность установлена в 20 то появляются дополнительные сообщения во время выполнения --check или --update.
report_url: местоположение куда будет направлен вывод. Может присутствовать несколько строк данного типа. Вывод будет осуществляться во все указанные. По умолчанию это стандартный вывод.
gzip_dbout: Осуществлять вывод в базу используя сжатие gzip или нет. Допустимые значения yes, true, no и false. По умолчанию сжатие не осуществляется. Этот параметр доступен только если программа собрана с поддержкой zlib.
Определения групп: Если параметр не один из выше перечисленных, то он трактуется как определение групп. Значение представлено выражением. Выражение имеет следующий вид.

<предопределенная группа>| <выражение> + <предопределенная группа> | <выражение> - <предопределенная группа>

: Смотрите СТАНДАРТНЫЕ ГРУППЫ на предмет предопределенных групп. Этметим, что это несколько отлично от того как делается в Tripwire(tm)
: Существует также специальная группа именуемая "ignore_list". Предопределенные группы включенные в нее НЕ будут отражены в окончательном отчете.

СТРОКИ ВЫБОРА

Существуют три типа строк выбора (обычные, отрицательные, равенства) Строки начинающиеся с "/" обычные строки выбора (/home/*). Строки начинающиеся с "!" это отрицательные строки. А строки начинающиеся со знака "=" это строки-равенства. Строка следующая за первым символом трактуется как регулярное выражение соотвествующее полному имени файлы (с указанием полного пути) При обычном правиле выбора "/" включается в регулярное выражение.Возможны регулярные выражения в выражениях. Смотрите СТРОКИ КОНФИГУРАЦИИ на предмет возможных выражений. Смотрите ПРИМЕРЫ и doc/aide.conf на предмет примеров.

СТРОКИ МАКРОСЫ

@@define VAR val: Назначить переменной VAR значение val.
@@undef VAR: Отменить значение переменной VAR.
@@ifdef VAR, @@ifndef VAR: @@ifdef начало условного выражения if . Оно должно заверщиться с @@endif. Строки между @@ifdef и @@endif используются если переменная VAR определена. Если есть условие @@else то часть между @@ifdef и @@else используется если VAR определена, в противном случае используется часть между @@else и @@endif .Выражение @@ifndef имеет логику обратную к @@ifdef но в остальном работает также.
@@ifhost hostname, @@ifnhost hostname: @@ifhost работает как @@ifdef только в отличие от него проверяет равно ли hostname имени машины на которой запущен aide. hostname это имя машины без имени домена (hostname, но не hostname.aide.org).
@{VAR}: Выражение @@{VAR} заменяется значением переменной VAR. Если переменная VAR не определена,то используется пустая строка. В Tripwire(tm) @@VAR НЕ поддерживаются.
@@else: Начало альтернативной части выражения.
@@endif: Окончание условного выражения if.

URLS

Местоположение может быть одним из следующий. Входящие URL не могут быть использованы как выходные и наоборот

stdout
stderr: Выходные данные направытся в stdout и stderr соответственно.
stdin: Входные данные берутся с stdin.
file://filename: Входные данные берутся из файла с именем filename или туда записываются выходные.
fd:number: Входные данные берутся из дескриптора с номером number или туда записываются выходные.

СТАНДАРТНЫЕ ГРУППЫ

p: права

i: inode

n: количество ссылок

u: пользователь

g: группа

s: размер

m: время модификации

a: время доступа

c: время создания

S: проверка на увеличение/изменение размера

md5: md5 checksum

sha1: sha1 checksum

rmd160: rmd160 checksum

tiger: tiger checksum

R: p+i+n+u+g+s+m+c+md5

L: p+i+n+u+g

E: Пустая группа

>: Постоянно увеличивающийся лог-файл p+u+g+i+n+S

Возможны также, если при сборке выбранна поддержка mhash

crc32: crc32 checksum

haval: haval checksum

gost: gost checksum

ПРИМЕРЫ

: / R

Это добавляет все файлы вашей машины. Эта одна строка вполне достаточна для конфигурационного файла.

: !/dev

Игнорировать структуру каталога /dev.

: =/tmp

Добавить только /tmp в базу, но не добавлять его подкаталоги.

: All=p+i+n+u+g+s+m+c+a+md5+sha1+tiger+rmd160

Эта строка назначает группу All. Она включает в себя все аттрибуты и все возможные контрольные суммы. Если вы действительно желаете использовать все доступные контрольные суммы, то следует включить поддержку mhash при сборке и добавить +crc32+haval+gost в конец определения группы All.Обращаем внимание, что поддержка Mhash может быть включена только во время сборки.

СОВЕТЫ

: =/foo R
: /foo/bar R

Этот параметр добавит все файлы в /foo поскольку они соответствуют /foo, что эквивалентно /foo.* (напомним, что в строках выбора используются регулярные выражения). Возможно вы в действительности жалали написать следующее:

: =/foo$ R
: /foo/bar R

Отметим, что следующее выражение работает, поскольку /foo добавляется не рекурсивно.

: =/foo R
А вот первое выражение не разрешено в AIDE. Вместо этого используйте
: /foo epug
: /foo e+p+u+g

СМ. ТАКЖЕ

aide(1) http://www.cs.tut.fi/~rammer/aide/manual.html

DISCLAIMER

All trademarks are the property of their respective owners. No animals were harmed while making this webpage or this piece of software.

ПЕРЕВОД

Translation by Stanislav I. Ievlev <inger@linux.ru.net>