Estoy buscando una forma sencilla de monitorear carpetas críticas en busca de cambios para reconocer hacks en un servidor Ubuntu 12.04. Después de días de leer procedimientos en diferentes programas, estoy un poco confundido sobre qué camino tomar. Los candidatos que he buscado en Google hasta ahora son:
- Cable trampa
- Samhain
- Yo veo
- Osec
Como está escrito, todo lo que necesito es unno intensivo en recursosforma de verificar si algo cambió en mi sistema (si es así, envíe un correo electrónico).
Además de las 4 soluciones que he leído, Linux ya te ofrece la posibilidad de monitorear e informar sobre cambios de archivos con Upstart. Ya está incluido en ubuntu, lo que lo hace brillante para mí. Desafortunadamente no pude encontrar ningún procedimiento para monitorear archivos Upstart.
Por último, pero no menos importante, también podría imaginarme configurar un cronjob simple que compare el tamaño de las carpetas críticas con un tamaño determinado.
Agradecido por señalarme en la dirección correcta,
tony
Respuesta1
Aunque se supone que no debemos hacer recomendaciones de productos, aquí están mis aportes sobresamhain. Me pidieron que estudiara la mejor solución de todo el mercado de código abierto sobre verificadores de integridad de archivos, y Samhain terminó siendo el mejor, porque tiene muchas funciones, es de código abierto y está desarrollado activamente.
Puede ajustar el impacto de los recursos de la siguiente manera:
- Limitar las E/S generadas por inicialización/verificaciones
SetIOLimit=1000(kB/s) - Definir la prioridad del proceso para reducir el impacto:
SetNiceLevel=19 - el uso de un algoritmo hash más simple reducirá el impacto en la CPU
- Elegir solo los atributos que considere significativos en el proceso de hash reducirá los datos incluidos.
- Limite solo a los archivos que desea monitorear.
- reducir la frecuencia de las comprobaciones de archivos
Fuente :Documentación oficial
Respuesta2
En algunos casos usoyáfico, que es un verificador de integridad de archivos muy simplificado.
Pero prefiero OSSec (multiplataforma, agente), ya que puede monitorear archivos de registro y responder en consecuencia.
por ejemplo, monitorear el archivo de registro seguro para detectar ataques de fuerza bruta ssh, o sondear el servidor web y bloquear la dirección IP en algunos casos.
yafic no está en los repositorios de ubuntu, por lo que deberás compilarlo desde el código fuente.
Respuesta3
apt-cache search inotify, para obtener más información sobre la interfaz de inotify "man inotify"