Aide与回购版本比较,还是仅与我自己的文件进行比较?
在长期安装的机器上安装Aide有什么意义吗?或者只有在新安装后立即安装或从拇指驱动器运行时才值得信任?
背景:
一个非技术的朋友有一台笔记本电脑,我帮他做生意。它最初安装了14.04 LTS,升级到16.04 LTS。他只有一个用户密码,没有根密码,也不属于sudo组。我曾多次告诉他不要点击未知的附件,但我知道偶尔他仍然试图打开一些东西,例如视频附件,可能被黑客攻击的朋友,还有病毒等等。
最近笔记本电脑“变慢了”,我看不出一个很好的理由,因为我知道如何检查(磁盘不满,没有交换,在不同时间显示2-5个项目,每个项目都使用< 2-5%,等等)。也许我应该先检查更多这些基本的东西,但我觉得有点偏执,因为它被黑了或者被黑了。
我曾经在我的所有服务器上使用Tripwire,所以我熟悉它是如何构建数据库的,然后监视与之相比较的更改。如果笔记本电脑的文件已经被黑客入侵,而Aide的工作方式也是相同的,那么这是没有帮助的。但是如果Aide有一些安全的方法来检查二进制文件的存储库版本,那么我想它可以告诉我我是否安全,而不需要重新安装。
显然,一个新的安装将是最安全的方式,但他是400公里之外,在血腥的卫星互联网,所以新的安装需要大量的努力。
回答 1
Ask Ubuntu用户
发布于 2017-07-21 19:08:48
助手与你自己的档案作比较。
来自man aide (http://manpages.ubuntu.com/manpages/trusty/man1/aide.1.html)和Aide手册(http://www.cs.tut.fi/~rammer/aide/manual.html):
"--init,-i初始化数据库。在使用-check命令之前,必须初始化数据库并将其移动到适当的位置。“
和
“通常情况下,系统管理员将在新系统上创建AIDE数据库,然后再将其带入网络。第一个AIDE数据库是系统处于正常状态的快照,也是衡量所有后续更新和更改的标准。”
https://askubuntu.com/questions/937059
复制相似问题
腾讯云开发者
