web-dev-qa-db-ja.com

* nixWebサーバーで変更されたファイルを識別する

サーバー上に「興味深い」ファイルのインデックスを作成し、それらのファイルの内容の特定が変更されたとき、または新しいファイルが表示されたときに通知するいくつかの(* nix)ソフトウェアを探しています。

Rkhunter et alに似ていますが、システムバイナリにはあまり焦点を当てておらず、Web経由で提供される実行可能ファイルに焦点を当てています。

何かお勧めはありますか?

linuxsecurityunixexploitrootkit
5
Chris Burgess

[〜#〜] ossec [〜#〜]を見てください。サーバーでファイルの整合性チェックを行うために使用しています。非常に完全で、簡単に実行できます。構成、設定。メール通知を送信したり、コマンドラインまたはWebインターフェイスを介してアラートを確認したりできます...

http://www.ossec.net/

ウェブサイトから取得:

「OSSECはオープンソースのホストベースの侵入検知システムです。ログ分析、ファイルの整合性チェック、ポリシーの監視、ルートキットの検出、リアルタイムのアラートを実行しますとアクティブな応答。」

7
Guillaume

Tripwire または [〜#〜] aid [〜#〜] を確認することをお勧めします

どちらも、マシン上の構成ファイルの変更を追跡します。

参照:

9
Zoredache

inotify フレームワークを試してみてください。これを使用して、write_closeイベントによって報告されたファイルのリストを取得できます。 incronまたはinotify-tools(両方ともリンクされている)ウィキペディアのページから。

一方、 tripwire はまさにあなたが探しているもののように聞こえますが、私の知る限り、どのファイルを見るかを簡単に定義できます。 tripwire(基本的なユースケースでは実際にはシステムバイナリ用に付与されています)があなたのユースケースに適していない理由はわかりません。

3
serverhorror

このための最良のパッケージは間違いなくtripwireです。

ここにクイックスタートガイドがあります: penguinapple.blogspot.com

このガイドはDebian向けですが、「構成と使用」セクションはすべての* nixで非常に似ているはずです。

1
user63056

AIDEとTripwire(すでに述べた)に加えて、 Samhain をチェックすることをお勧めします。

3つすべてがデフォルトで/ etcとさまざまなバイナリディレクトリを監視するように設定されている可能性がありますが、ほとんどすべてを監視するように構成できます。

1
freiheit

Systraqを見てください

http://directory.fsf.org/project/systraq/

0
Kevin Kuphal

radmindも見てください。ファイルシステム全体の差分を実行してから、それらを適用解除または再適用できます。クライアントユーティリティを単独で使用することも、サーバーを使用してすべての差分のリポジトリを作成することもできます。

http://rsug.itd.umich.edu/software/radmind/

0
lukecyca

CFEngineには、任意のファイルのチェックサムを追跡する機能と、残りの構成を管理する機能があります。エージェントを備えた派生構成管理ツール(PuppetやChefなど)のいくつかも、おそらく同様のことを実行できると思います。

http://cfengine.com/

0
dannysauer