监视文件更改显示文件内容已更改

监视文件更改显示文件内容已更改

我的问题类似于找出哪个进程正在更改文件但是我需要更多。inotify 仅告知文件上的一些事件,Auditd 也仅向我们提供对文件执行某些操作的 pid。但我需要了解关于更改的更多详细信息,比如该过程实际上对文件执行了什么操作,例如添加或删除了文件的内容,如果添加了新文件,那么是谁添加了该文件,如果权限被更改了,那么由谁更改了,以及权限之前/之后的内容等。

简而言之,有没有可以替代 inofity 和 AuditD 的?我也在使用 OSSEC,但需要知道是否有更好的选择。

答案1

你可以使用Monit 的服务测试. 文件内容或校验和测试。

否则,你正在寻找更全面的东西,比如绊线? 虽然有免费版本,但听起来您对完整的审计解决方案感兴趣。文件完整性监控Tripwire 可以满足您的要求。

或许萨海因, 也...

是否存在特定问题操作系统安全评估中心您现在有什么解决方案吗?

答案2

incron结合和是否可行git?incron 会注意到文件/目录的更改,然后立即将文件提交到 git 存储库。这样,您至少可以看到更改。

ausearch为您提供有关谁更改了文件、使用了哪个命令、文件权限是什么等等的详细信息。

相关内容