我想创建一个日志来检测对基于 Unix/Linux 的服务器的入侵性质。
为此,我想学习一些工具,例如开源 Tripwire 和 OSSEC。请向我推荐类似的工具。
我可以从此类工具中获得有关入侵者的哪些信息?我可以自动化跟踪文件中这些工具生成的警报的过程吗?
答案1
- 如果您的系统使用 rpm: rpm -q --verify 获取软件包内容
- 对于配置文件:使用etckeeper或puppet来存储它们
iirc ossec 可以使用这两者来补充其自身的功能。
答案2
Aide 是一个比 Tripwire 更容易配置的优秀审计工具。可以找到这里。您也许可以从您的发行版特定存储库中获取它。