Existe algum ponto na instalação do Aide em uma máquina há muito instalada? ou é apenas confiável se instalado imediatamente após uma nova instalação ou executado a partir do pen drive?
Antecedentes:
Um amigo não-techy tem um laptop que eu o ajudo a continuar trabalhando. Foi originalmente instalado com 14.04 LTS e atualizado para 16.04 LTS. Ele tem apenas uma senha de usuário, nenhuma senha de root, nem ele está no grupo sudo. Eu disse a ele muitas vezes para não clicar em anexos desconhecidos, mas sei que, de vez em quando, ele ainda tenta abrir coisas, por exemplo. anexos de vídeo, de amigos que podem ter sido hackeados, têm vírus, etc.
Ultimamente o laptop tem estado "ficando lento" e eu não vejo uma boa razão em termos das coisas básicas que eu sei checar (disco não está cheio, não está trocando, top mostra 2-5 itens em vários momentos, cada um usando < 2-5%, etc). Talvez eu deva checar mais coisas básicas primeiro, mas estou me sentindo um pouco paranóico por ter sido hackeado ou rootkitted.
Eu costumava usar o Tripwire em todos os meus servidores, por isso estou familiarizado com o modo como isso constrói um banco de dados e monitora as alterações em comparação com isso. Se os arquivos do laptop já estiverem hackeados e o Aide funcionar da mesma maneira, isso não será útil. Mas, se o Aide tiver alguma maneira segura de verificar as versões do repositório dos binários, suponho que ele poderia me informar se estou seguro sem precisar de uma nova instalação.
Obviamente, uma nova instalação seria a maneira mais segura de se estar seguro, mas ele está a 400 km de distância e na internet via satélite slooow, então a instalação nova exige muito esforço.