Entendendo aide.db

1

Aide (o monitor de integridade de arquivos) cria um banco de dados chamado aide.db. Nesse arquivo, duas colunas específicas são attr e perms. Como os dados nessas colunas podem ser interpretados?

    
por Michael Mather 05.02.2017 / 18:25

1 resposta

2

Em resposta à minha própria pergunta, os experimentos mostram o seguinte.

aide.db (e aide.db.new) sempre tem as seguintes colunas:

  1. name - o nome do arquivo / diretório / link de software
  2. lname - o destino do link de software, mas "0" se esse não for um link de software
  3. attr - veja abaixo
  4. perm - as permissões para este item - veja abaixo
  5. inode - o inode deste item

Pode haver mais colunas, de acordo com o que você solicitou no (s) arquivo (s) de configuração.

As permissões podem começar com:

  • 4: este é um diretório
  • 10: este é um arquivo
  • 12: este é um link suave

(Note que 'd' é a quarta letra do alfabeto, e 'l' é o 12º. Mas 'f' não é o 10º.)

O próximo dígito é o setuid / setgid / sticky bits, e os últimos três dígitos são as permissões usuais. Por exemplo, se a entrada for 100755, este é um arquivo com permissões rwxr-xr-x

A coluna de atributos (attr) possui bits que indicam o que você solicitou ou o que foi fornecido. Aqui estão alguns dos bits, expressos em hexadecimal:

  • 1: sempre definido como 1
  • 2: (não sei)
  • 4: p = perms
  • 8: u = userid
  • 10: g = groupid
  • 20: s = tamanho
  • 40: a = atime (ainda não sei ler os tempos.)
  • 80: c = ctime
  • 100: m = mtime
  • 200: i = inode
  • 400: b = contagem de blocos
  • 800: n = número de links
  • 4.000.000: S = tamanho crescente
  • 8.000.000: eu = ignoro o nome do arquivo alterado

Todos aqueles de 4 a 800 fazem com que uma coluna extra seja impressa.

Os itens a seguir são para somas de verificação. Checksums são calculados apenas para arquivos, não para diretórios e não para links suaves. O bit correspondente é definido como 1 apenas para arquivos.

  • 1000: md5
  • 2000: sha1
  • 4000: rmd160
  • 8000: tigre
  • 10000: crc32
  • 20000: haval
  • 40.000.000: sha256
  • 80.000.000: sha512

Tenho certeza de que mais poderia ser descoberto observando o código-fonte. Por favor, corrija qualquer erro.

    
por 07.02.2017 / 00:55