我正在尋找一種簡單的方法來監視關鍵資料夾的更改,以識別 ubuntu 12.04 伺服器上的駭客行為。經過幾天閱讀不同程序的操作方法後,我有點困惑該走哪條路。到目前為止我用谷歌搜尋過的候選人是:
- 絆線
- 薩溫
- 我看
- 奧塞克
正如所寫,我需要的是資源不密集檢查我的系統是否發生更改的方法(如果是,請發送emai)。
除了 4 種解決方案之外,我還了解到 Linux 已經讓您能夠使用 Upstart 來監視和通知文件變更。它已經包含在 ubuntu 中,這使它對我來說閃閃發光。不幸的是,我找不到任何關於 Upstart 檔案監控的方法。
最後但並非最不重要的一點是,我還可以想像設定一個簡單的 cronjob,它將關鍵資料夾的大小與給定大小進行比較。
感謝您為我指明了正確的方向,
東尼
答案1
雖然我們不應該做產品推薦,但以下是我的意見薩溫。我被要求研究整個開源市場中文件完整性檢查器的最佳解決方案,Samhain 最終成為最好的解決方案,因為它功能豐富、開源且開發積極。
您可以透過以下方式調整資源影響:
- 限制初始化/檢查產生的 I/O
SetIOLimit=1000(kB/s) - 定義流程優先順序以減少影響:
SetNiceLevel=19 - 使用更簡單的哈希演算法將減少對 CPU 的影響
- 僅選擇您認為在哈希過程中有意義的屬性將減少包含的數據
- 僅限於您要監控的文件。
- 減少文件檢查的頻率
來源 :官方文檔
答案2
在某些情況下我使用亞菲克,我非常簡化了文件完整性檢查器。
但我更喜歡OSSec(跨平台,代理),因為它可以監視日誌檔案並做出相應的回應。
例如,監視安全性日誌檔案是否有 ssh 暴力攻擊,或 Web 伺服器偵測並在某些情況下封鎖 IP 位址。
yafic 不在 ubuntu 儲存庫中,因此您需要從原始程式碼編譯它。
答案3
apt-cache 搜尋 inotify,有關 inotify 介面“man inotify”的更多信息