我正在寻找一种简单的方法来监控关键文件夹的变化,以识别 ubuntu 12.04 服务器上的黑客行为。经过几天阅读不同程序的操作指南后,我有点困惑该怎么做。到目前为止,我在 Google 上搜索过的候选方法有:
- 绊线
- 萨温节
- 我看
- 奥塞克
正如所写,我需要的是一个非资源密集型检查我的系统是否发生了变化的方法(如果是,请发送电子邮件)。
除了上述 4 种解决方案外,我还了解到 Linux 已经为您提供了使用 Upstart 监控和通知文件更改的可能性。它已经包含在 ubuntu 中,这让我非常兴奋。不幸的是,我找不到任何有关 Upstart 文件监控的操作方法。
最后但同样重要的一点是,我还可以想象设置一个简单的 cronjob,将关键文件夹的大小与给定的大小进行比较。
感谢您为我指明了正确的方向,
托尼
答案1
虽然我们不应该做产品推荐,但以下是我关于萨温节。有人要求我研究整个开源市场中文件完整性检查器的最佳解决方案,而 Samhain 最终成为最佳方案,因为它功能丰富、开源且开发活跃。
您可以通过以下方式调整资源影响:
- 限制初始化/检查产生的 I/O
SetIOLimit=1000
(kB/s) - 定义流程优先级以减少影响:
SetNiceLevel=19
- 使用更简单的哈希算法将减少对 CPU 的影响
- 在散列过程中,仅选择你认为有意义的属性将减少包含的数据
- 仅限于您想要监视的文件。
- 减少文件检查的频率
来源 :官方文档
答案2
在某些情况下我使用亚菲克,我非常简化了文件完整性检查器。
但我更喜欢 OSSec(跨平台、代理),因为它可以监控日志文件并做出相应的响应。
例如,监视安全日志文件以查找 ssh 暴力攻击或 Web 服务器探测,并在某些情况下阻止 IP 地址。
yafic 不在 ubuntu 存储库中,因此您需要从源代码进行编译。
答案3
apt-cache search inotify,有关 inotify 接口的更多信息“man inotify”