Monitoramento de arquivos no servidor Ubuntu 12.04

tag-icon tag-icon linux ubuntu monitoring filesystems
Monitoramento de arquivos no servidor Ubuntu 12.04

Estou procurando uma maneira simples de monitorar pastas críticas em busca de alterações para reconhecer hacks em um servidor Ubuntu 12.04. Depois de dias lendo How To's em diferentes programas, estou um pouco confuso sobre qual caminho seguir. Os candidatos que pesquisei no Google até agora são:

  • Tripwire
  • Samhain
  • Eu assisto
  • Ossec

Como está escrito, tudo que preciso é de umnão recursos intensosmaneira de verificar se algo mudou no meu sistema (se sim, envie um e-mail).

Além das 4 soluções que li, o Linux já oferece a possibilidade de monitorar e informar sobre alterações de arquivos com o Upstart. Já está incluído no Ubuntu, o que o torna brilhante para mim. Infelizmente não consegui encontrar nenhum tutorial para monitoramento de arquivos Upstart.

Por último, mas não menos importante, também poderia imaginar a configuração de um cronjob simples que compara o tamanho das pastas críticas com um determinado tamanho.

Grato por me apontar na direção certa,

Tony

Responder1

Embora não devamos fazer recomendações de produtos, aqui estão minhas opiniões sobreSamhain. Pediram-me para estudar a melhor solução de todo o mercado de código aberto para verificadores de integridade de arquivos, e o Samhain acabou sendo o melhor, porque é rico em recursos, de código aberto e desenvolvido ativamente.

Você pode ajustar o impacto dos recursos:

  • Limite a E/S gerada pela inicialização/verificações SetIOLimit=1000(kB/s)
  • Defina a prioridade do processo para reduzir o impacto:SetNiceLevel=19
  • usar um algoritmo de hash mais simples reduzirá o impacto da CPU
  • Escolher apenas os atributos que você considera significativos no processo de hash reduzirá os dados incluídos
  • Limite apenas aos arquivos que você deseja monitorar.
  • reduzir a frequência das verificações de arquivos

Fonte :Documentação Oficial

Responder2

Em alguns casos eu usoyafic, que simplifiquei muito o verificador de integridade de arquivos.

Mas eu prefiro o OSSec (plataforma cruzada, agente), pois ele pode monitorar arquivos de log e responder de acordo.

por exemplo, monitore o arquivo de log seguro para ataques de força bruta ssh ou sondagem do servidor web e bloqueie o endereço IP em alguns casos.

yafic não está nos repositórios do Ubuntu, então você precisará compilá-lo a partir do código-fonte.

Responder3

apt-cache search inotify, para mais informações sobre a interface inotify "man inotify"

informação relacionada