Ubuntu 12.04 服务器上的文件监控

Ubuntu 12.04 服务器上的文件监控

我正在寻找一种简单的方法来监控关键文件夹的变化,以识别 ubuntu 12.04 服务器上的黑客行为。经过几天阅读不同程序的操作指南后,我有点困惑该怎么做。到目前为止,我在 Google 上搜索过的候选方法有:

  • 绊线
  • 萨温节
  • 我看
  • 奥塞克

正如所写,我需要的是一个非资源密集型检查我的系统是否发生了变化的方法(如果是,请发送电子邮件)。

除了上述 4 种解决方案外,我还了解到 Linux 已经为您提供了使用 Upstart 监控和通知文件更改的可能性。它已经包含在 ubuntu 中,这让我非常兴奋。不幸的是,我找不到任何有关 Upstart 文件监控的操作方法。

最后但同样重要的一点是,我还可以想象设置一个简单的 cronjob,将关键文件夹的大小与给定的大小进行比较。

感谢您为我指明了正确的方向,

托尼

答案1

虽然我们不应该做产品推荐,但以下是我关于萨温节。有人要求我研究整个开源市场中文件完整性检查器的最佳解决方案,而 Samhain 最终成为最佳方案,因为它功能丰富、开源且开发活跃。

您可以通过以下方式调整资源影响:

  • 限制初始化/检查产生的 I/O SetIOLimit=1000(kB/s)
  • 定义流程优先级以减少影响:SetNiceLevel=19
  • 使用更简单的哈希算法将减少对 CPU 的影响
  • 在散列过程中,仅选择你认为有意义的属性将减少包含的数据
  • 仅限于您想要监视的文件。
  • 减少文件检查的频率

来源 :官方文档

答案2

在某些情况下我使用亚菲克,我非常简化了文件完整性检查器。

但我更喜欢 OSSec(跨平台、代理),因为它可以监控日志文件并做出相应的响应。

例如,监视安全日志文件以查找 ssh 暴力攻击或 Web 服务器探测,并在某些情况下阻止 IP 地址。

yafic 不在 ubuntu 存储库中,因此您需要从源代码进行编译。

答案3

apt-cache search inotify,有关 inotify 接口的更多信息“man inotify”

相关内容