<div dir="ltr"><div>Greetings Marc!<br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Apr 12, 2023 at 2:19 AM Marc Haber <<a href="mailto:mh%2Baide@zugschlus.de">mh+aide@zugschlus.de</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi,<br>
<br>
I maintain the packages and the rules in Debian.<br>
<br>
On Mon, Apr 10, 2023 at 05:17:41PM -0500, Matt Zagrabelny wrote:<br>
> Running Debian:<br>
> <br>
> aide-common    0.17.3-4+deb11u1<br>
> <br>
> After install I run:<br>
> <br>
> aideinit<br>
> <br>
> then I run (by hand):<br>
> <br>
> /etc/cron.daily/aide<br>
> <br>
> In the resulting email from cron I see:<br>
> <br>
> ----------%<-----------BEGIN<br>
> Summary:<br>
>   Total number of entries:      163267<br>
>   Added entries:                1<br>
>   Removed entries:              0<br>
>   Changed entries:              0<br>
> <br>
> ---------------------------------------------------<br>
> Added entries:<br>
> ---------------------------------------------------<br>
> <br>
> f+++++++++++++++++: /var/lib/aide/aide.db<br>
> ----------%<-----------END<br>
<br>
Yes, that's the currently intended behavior.<br></blockquote><div><br></div><div>OK. Good to know.</div><div> <br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
> Is there a way to have the aideinit determine the checksum value for<br>
> /var/lib/aide/aide.db and include it in the initial run, thus causing the<br>
> initial email to have 0 added entries?<br>
<br>
In 0.17.3 there is no clean way to do that. In later versions, you can<br>
do a partly update of the database in a second step.<br></blockquote><div><br></div><div>I looked through the ChangeLog (between 0.17.3 and 0.18.1), but wasn't able to identify the option to "do a partly update".</div><div><br></div><div>Could you point me in the right direction for the correct config directive?<br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
This is one of the things that you cannot do right.<br>
<br>
You could try changing /etc/aide/aide.conf.d/31_aide_aide:<br>
<br>
diff --git a/debian/aide.conf.d/31_aide_aide b/debian/aide.conf.d/31_aide_aide<br>
index 48fbcf6..22d995b 100644<br>
--- a/debian/aide.conf.d/31_aide_aide<br>
+++ b/debian/aide.conf.d/31_aide_aide<br>
@@ -1,5 +1,6 @@<br>
 /var/lib/aide$ d VarDir-n<br>
-/var/lib/aide/aide\\.db(\\.new)?$ f VarFile<br>
+/var/lib/aide/aide\\.db\\.new$ f VarFile<br>
+/var/lib/aide/aide\\.db$ f VarFile+ANF<br>
 !/var/lib/aide/dailyaidecheck$ d<br>
 !/var/lib/aide/dailyaidecheck/((error|a(run|err))log|mailfile)$ f<br>
 /var/log/aide$ d VarDir<br>
<br>
If you decide to do that, please let me know how it goes. This might be<br>
a valid change for the post-bookworm package as well.<br></blockquote><div><br></div><div>I'll take a look at making that change and report back.<br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
Why are you wondering about this? Are you planning to roll out a big<br>
number of Debian systems using aide?<br></blockquote><div><br></div><div>Exactly. We're not talking about 1000's of servers, but 100's. I'm looking to minimize (default) interaction with AIDE and also looking to minimize emails - the email stating that /var/lib/aide/aide.db was added does not give any real additional insight to the admins. So, it would be nice to avoid that email altogether.</div><div><br></div><div>Thanks for your time in answering my email and also for all of your contributions to Debian and free software.</div><div><br></div><div>Cheers,</div><div><br></div><div>-m</div></div></div>