这些 Linux 目录中的文件多久更改一次?

这些 Linux 目录中的文件多久更改一次?

我目前正在寻找基于主机的入侵检测系统来执行文件完整性检查。我有一些文件/目录可以开始监视:

  • /垃圾桶
  • /sbin
  • /usr
  • /选择
  • /lib64
  • /根
  • /etc(不包括passwd/shadow)
  • /boot/grub/grub.conf(想要 grub 所有 /boot)

我排除了不断变化的日志和缓存文件。

我知道这些目录中有文件和各种程序,但我很难确定这些程序是否发生变化。换句话说:它们多久更新一次或打补丁?用户/管理员多久使用/更改它们?谢谢。

答案1

他们的评论@Kusalananda 是正确的。您的问题只能以一般方式回答,因为它的答案仅适用于特定操作系统实例的配置和工作负载。

您需要安装什么才能找到哪个文件寄存器什么变化的类型,以及多常基本上是“绊线“(TW),一个 FOSS 工具,用于监视和警告一系列 *nix 系统上的特定文件更改。我在基于 Debian 的系统上广泛使用它。

TW 的实现和调整非常耗时,但是您从中获得的信息非常非常细粒度。您可以排除任何文件(包括日志、缓存等),只要该文件存在于您的系统上即可。那是为了“哪个“ 和 ”什么”。

为了 ”多常”,TW 的 csv 类型输出需要进行自定义后处理。

HTH。

相关内容