Ich suche nach einer einfachen Möglichkeit, kritische Ordner auf Änderungen zu überwachen, um Hacks auf einem Ubuntu 12.04-Server zu erkennen. Nachdem ich tagelang Anleitungen zu verschiedenen Programmen gelesen habe, bin ich etwas verwirrt, welchen Weg ich einschlagen soll. Die Kandidaten, die ich bisher gegoogelt habe, sind:
- Stolperdraht
- Samhain
- Ich schaue
- Ossec
Wie geschrieben, alles was ich brauche ist einnicht ressourcenintensivMöglichkeit zu prüfen, ob sich an meinem System etwas geändert hat (wenn ja, senden Sie eine E-Mail).
Neben den 4 Lösungen habe ich gelesen, dass Linux mit Upstart bereits die Möglichkeit bietet, Dateiänderungen zu überwachen und darüber zu informieren. Es ist bereits in Ubuntu enthalten, was es für mich interessant macht. Leider konnte ich keine Anleitungen zur Dateiüberwachung mit Upstart finden.
Zu guter Letzt könnte ich mir auch vorstellen, einen einfachen Cronjob einzurichten, der beispielsweise die Größe kritischer Ordner mit einer vorgegebenen Größe vergleicht.
Dankbar, dass du mich in die richtige Richtung gelenkt hast,
tony
Antwort1
Obwohl wir eigentlich keine Produktempfehlungen geben sollen, hier meine Anregungen zuSamhain. Ich wurde gebeten, auf dem gesamten Open-Source-Markt die beste Lösung für Dateiintegritätsprüfer zu untersuchen, und Samhain erwies sich am Ende als die beste, weil es viele Funktionen bietet, Open Source ist und aktiv weiterentwickelt wird.
Sie können die Ressourcenauswirkung wie folgt optimieren:
- Begrenzen Sie die durch Initialisierung/Prüfungen generierte E/A
SetIOLimit=1000(kB/s). - Definieren Sie die Prozesspriorität, um die Auswirkungen zu reduzieren:
SetNiceLevel=19 - Die Verwendung eines einfacheren Hash-Algorithmus reduziert die CPU-Belastung
- Wenn Sie nur die Attribute auswählen, die Sie im Hash-Prozess für sinnvoll halten, wird die Anzahl der enthaltenen Daten reduziert.
- Beschränken Sie sich auf die Dateien, die Sie nur überwachen möchten.
- Reduzieren Sie die Häufigkeit der Dateiprüfungen
Quelle :Offizielle Dokumentation
Antwort2
In manchen Fällen verwende ichAbonnieren, was eine sehr vereinfachte Dateiintegritätsprüfung ist.
Aber ich bevorzuge OSSec (plattformübergreifend, Agent), da es Protokolldateien überwachen und entsprechend reagieren kann.
Überwachen Sie beispielsweise die sichere Protokolldatei auf SSH-Brute-Force-Angriffe oder Webserver-Sondierungen und blockieren Sie in einigen Fällen die IP-Adresse.
Yafic ist nicht in den Ubuntu-Repos, Sie müssen es also aus dem Quellcode kompilieren.
Antwort3
apt-cache search inotify, für weitere Informationen zur inotify-Schnittstelle „man inotify“