Em resposta à minha própria pergunta, os experimentos mostram o seguinte.
aide.db (e aide.db.new) sempre tem as seguintes colunas:
- name - o nome do arquivo / diretório / link de software
- lname - o destino do link de software, mas "0" se esse não for um link de software
- attr - veja abaixo
- perm - as permissões para este item - veja abaixo
- inode - o inode deste item
Pode haver mais colunas, de acordo com o que você solicitou no (s) arquivo (s) de configuração.
As permissões podem começar com:
- 4: este é um diretório
- 10: este é um arquivo
- 12: este é um link suave
(Note que 'd' é a quarta letra do alfabeto, e 'l' é o 12º. Mas 'f' não é o 10º.)
O próximo dígito é o setuid / setgid / sticky bits, e os últimos três dígitos são as permissões usuais. Por exemplo, se a entrada for 100755, este é um arquivo com permissões rwxr-xr-x
A coluna de atributos (attr) possui bits que indicam o que você solicitou ou o que foi fornecido. Aqui estão alguns dos bits, expressos em hexadecimal:
- 1: sempre definido como 1
- 2: (não sei)
- 4: p = perms
- 8: u = userid
- 10: g = groupid
- 20: s = tamanho
- 40: a = atime (ainda não sei ler os tempos.)
- 80: c = ctime
- 100: m = mtime
- 200: i = inode
- 400: b = contagem de blocos
- 800: n = número de links
- 4.000.000: S = tamanho crescente
- 8.000.000: eu = ignoro o nome do arquivo alterado
Todos aqueles de 4 a 800 fazem com que uma coluna extra seja impressa.
Os itens a seguir são para somas de verificação. Checksums são calculados apenas para arquivos, não para diretórios e não para links suaves. O bit correspondente é definido como 1 apenas para arquivos.
- 1000: md5
- 2000: sha1
- 4000: rmd160
- 8000: tigre
- 10000: crc32
- 20000: haval
- 40.000.000: sha256
- 80.000.000: sha512
Tenho certeza de que mais poderia ser descoberto observando o código-fonte. Por favor, corrija qualquer erro.