Мониторинг файлов на сервере Ubuntu 12.04

tag-icon tag-icon linux ubuntu monitoring filesystems
Мониторинг файлов на сервере Ubuntu 12.04

Я ищу простой способ мониторинга критических папок на предмет изменений для распознавания взломов на сервере Ubuntu 12.04. После нескольких дней чтения How To по разным программам я немного запутался, куда идти. Кандидаты, которых я пока что гуглил, следующие:

  • Растяжка
  • Самайн
  • Я смотрю
  • Осек

Как написано, все, что мне нужно, этоне ресурсоемкийспособ проверить, изменилось ли что-то в моей системе (если да, отправьте электронное письмо).

Помимо 4 решений, которые я прочитал, Linux уже дает вам возможность контролировать и сообщать об изменениях файлов с помощью Upstart. Это уже включено в Ubuntu, что делает его блестящим для меня. К сожалению, я не смог найти никаких How to для мониторинга файлов Upstart.

И последнее, но не менее важное: я мог бы также представить себе создание простого задания cron, которое сравнивало бы, например, размер критических папок с заданным размером.

Спасибо, что указали мне правильное направление,

Тони

решение1

Хотя мы не должны давать рекомендации по продуктам, вот мои соображения по этому поводусамайн. Меня попросили изучить лучшее решение из всего рынка программ проверки целостности файлов с открытым исходным кодом, и Samhain оказался лучшим, потому что он многофункционален, имеет открытый исходный код и активно развивается.

Вы можете настроить воздействие ресурсов следующим образом:

  • Ограничить ввод-вывод, генерируемый инициализацией/проверками SetIOLimit=1000(кБ/с)
  • Определите приоритет процесса для снижения воздействия:SetNiceLevel=19
  • использование более простого алгоритма хеширования уменьшит нагрузку на процессор
  • Выбор только тех атрибутов, которые вы считаете значимыми в процессе хеширования, позволит сократить объем включенных данных.
  • Ограничьтесь только теми файлами, которые вы хотите отслеживать.
  • уменьшить частоту проверок файлов

Источник :Официальная документация

решение2

В некоторых случаях я используюяфик, который я очень упростил проверку целостности файлов.

Но я предпочитаю OSSec (кроссплатформенный, агент), так как он может отслеживать файлы журналов и реагировать соответствующим образом.

например, отслеживать защищенный файл журнала на предмет атак методом подбора пароля SSH или проверки веб-сервера и в некоторых случаях блокировать IP-адрес.

yafic отсутствует в репозиториях Ubuntu, поэтому вам придется скомпилировать его из исходного кода.

решение3

apt-cache найдите inotify, для получения дополнительной информации об интерфейсе inotify выполните команду "man inotify"

Связанный контент