我不是系统工程师,也不是安全专家(我更像是软件开发人员),但我正在从事与 SIEM 安装(Wazuh)相关的项目。目前,此安装仅供客户演示,第二次将实施真实场景项目。此 SIEM 将监控一些 CentOS 7 机器
我有以下疑问:我们想在某些重要文件内容发生变化时对其进行监控。
我认为,对于第一个演示,我们可以监控与这两个用例相关的事件:
- 当某些配置文件的内容发生变化时。
- 当日志文件大小减小时(这可能表明篡改日志文件以消除攻击信息)。
你怎么看?如果有意义的话,您能否建议我一份重要的配置文件列表和一份值得在 Linux 系统上监控的重要日志文件列表(特别是与 CentOS 7 系统相关的文件)。
此外,您能否建议我一些必须监控的目录,以避免攻击者上传恶意文件?
答案1
在默认的 centos 7 安装中,您可以监视这些文件是否被篡改:
# logs
/var/log/secure
/var/log/messages
/var/log/audit/audit.log
# configs
/etc/audit/auditd.conf
/etc/ssh/sshd_config
/etc/sudoers
还有一些用于监视可以上传文件的位置的示例文件夹:
# common web server root
/var/www/
/var/www/html/
# common FTP server folder
/ftp/
# root user home directory
/root/
这不是一个完整的列表,但看起来您只是想要一些例子。