我的问题类似于找出哪个进程正在更改文件但是我需要更多。inotify 仅告知文件上的一些事件,Auditd 也仅向我们提供对文件执行某些操作的 pid。但我需要了解关于更改的更多详细信息,比如该过程实际上对文件执行了什么操作,例如添加或删除了文件的内容,如果添加了新文件,那么是谁添加了该文件,如果权限被更改了,那么由谁更改了,以及权限之前/之后的内容等。
简而言之,有没有可以替代 inofity 和 AuditD 的?我也在使用 OSSEC,但需要知道是否有更好的选择。
答案1
你可以使用Monit 的服务测试. 文件内容或校验和测试。
否则,你正在寻找更全面的东西,比如绊线? 虽然有免费版本,但听起来您对完整的审计解决方案感兴趣。文件完整性监控Tripwire 可以满足您的要求。
或许萨海因, 也...
是否存在特定问题操作系统安全评估中心您现在有什么解决方案吗?
答案2
incron
结合和是否可行git
?incron 会注意到文件/目录的更改,然后立即将文件提交到 git 存储库。这样,您至少可以看到更改。
ausearch
为您提供有关谁更改了文件、使用了哪个命令、文件权限是什么等等的详细信息。