我目前正在寻找基于主机的入侵检测系统来执行文件完整性检查。我有一些文件/目录可以开始监视:
- /垃圾桶
- /sbin
- /usr
- /选择
- /lib64
- /根
- /etc(不包括passwd/shadow)
- /boot/grub/grub.conf(想要 grub 所有 /boot)
我排除了不断变化的日志和缓存文件。
我知道这些目录中有文件和各种程序,但我很难确定这些程序是否发生变化。换句话说:它们多久更新一次或打补丁?用户/管理员多久使用/更改它们?谢谢。
答案1
他们的评论@Kusalananda 是正确的。您的问题只能以一般方式回答,因为它的答案仅适用于特定操作系统实例的配置和工作负载。
您需要安装什么才能找到哪个文件寄存器什么变化的类型,以及多常基本上是“绊线“(TW),一个 FOSS 工具,用于监视和警告一系列 *nix 系统上的特定文件更改。我在基于 Debian 的系统上广泛使用它。
TW 的实现和调整非常耗时,但是您从中获得的信息非常非常细粒度。您可以排除任何文件(包括日志、缓存等),只要该文件存在于您的系统上即可。那是为了“哪个“ 和 ”什么”。
为了 ”多常”,TW 的 csv 类型输出需要进行自定义后处理。
HTH。