识别 *nix 网络服务器上已更改的文件

识别 *nix 网络服务器上已更改的文件

寻找一些(*nix)软件,它将在服务器上建立“有趣”文件的索引,并在修改某些文件内容或出现新文件时发出通知。

与 rkhunter 等类似,但较少关注系统二进制文件而更多关注通过 Web 提供的可执行文件。

有什么建议吗?

答案1

看着操作系统安全评估中心,我使用它来检查我们服务器上的文件完整性,它非常完整且易于配置。它可以发送邮件通知,您可以通过命令行或 Web 界面检查警报...

http://www.ossec.net/

摘自网站:

“OSSEC 是一个开源的基于主机的入侵检测系统。它执行日志分析,文件完整性检查、策略监控、rootkit检测、实时告警和主动响应。”

答案2

答案3

您可以尝试通知框架。您可以使用它来获取 write_close 事件向您报告的文件列表。您可能需要调查因克龙或者inotify 工具(均链接自维基百科页面。

另一方面,听起来绊线正是您要搜索的内容,据我所知,您可以简单地定义要查看哪些文件。我不明白为什么 tripwire(在基本用例中,它实际上是针对系统二进制文件的)不适合您的用例。

答案4

对此最好的包肯定是 tripwire。

这里有一个快速入门指南:penguinapple.blogspot.com

该指南适用于 Debian,但所有 *nix 的“配置和使用”部分应该非常相似。

相关内容