Ubuntu 12.04 サーバー上のハッキングを認識するために、重要なフォルダーの変更を監視する簡単な方法を探しています。さまざまなプログラムのハウツーを何日も読んできましたが、どの方法にするか少し混乱しています。これまでに Google で検索した候補は次のとおりです。
- トリップワイヤー
- サムハイン
- アイウォッチ
- オセック
書かれている通り、必要なのは資源をあまり必要としないシステムで何か変更があったかどうかを確認する方法 (変更があった場合は電子メールを送信します)。
私が読んだ 4 つのソリューションの他に、Linux では Upstart を使用してファイルの変更を監視し、通知する機能がすでに提供されています。これは Ubuntu にすでに含まれているため、私にとっては魅力的です。残念ながら、Upstart によるファイル監視の方法は見つかりませんでした。
最後になりましたが、重要なフォルダーのサイズを指定されたサイズと比較する単純な cronjob を設定することも考えられます。
正しい方向を指し示してくれてありがとう、
トニー
答え1
商品の推奨は行いませんが、私の意見としてはサムハインファイル整合性チェッカーに関するオープンソース市場全体から最良のソリューションを調査するように依頼されましたが、機能が豊富でオープンソースであり、積極的に開発されているため、Samhain が最良のソリューションであることが判明しました。
リソースへの影響は次の方法で調整できます。
- 初期化/チェックによって生成されるI/Oを制限する
SetIOLimit=1000(kB/s) - 影響を軽減するためにプロセスの優先順位を定義します。
SetNiceLevel=19 - より単純なハッシュアルゴリズムを使用するとCPUへの影響が軽減されます
- ハッシュ処理で意味のある属性のみを選択すると、含まれるデータが削減されます。
- 監視したいファイルのみに制限します。
- ファイルチェックの頻度を減らす
ソース :公式ドキュメント
答え2
場合によってはヤフィックこれは非常に簡素化されたファイル整合性チェッカーです。
しかし、私は OSSec (クロスプラットフォーム、エージェント) を好みます。これは、ログ ファイルを監視し、それに応じて応答できるためです。
たとえば、SSH ブルート フォース攻撃や Web サーバーのプローブについてセキュア ログ ファイルを監視し、場合によっては IP アドレスをブロックします。
yafic は Ubuntu リポジトリにないため、ソースからコンパイルする必要があります。
答え3
apt-cache search inotify、inotify インターフェースの詳細については「man inotify」を参照してください。