检测对我的 Linux 服务器的未经授权的更改

检测对我的 Linux 服务器的未经授权的更改

我有一个想法并且有兴趣看看它是否能通过这里更聪明的人的嗅探测试。

我有一个面向 Web 的服务器。我将其称为 WEB1。我认为我已经采取了标准预防措施,而且据我所知,到目前为止,它还没有被盗用。为了回答我的问题,假设我做得很好。尽管我尽了最大努力,但仍然有可能有恶意的人找到“入口”。

WEB1 服务器是虚拟机。它运行在专用的 Linux 机器上,我将其称为 HOST1。它没有 Internet 可见性。从 HOST1 我可以看到 WEB1 的 vm 文件。有没有一种“智能”的方法可以通过从 HOST1 查看 WEB1 的操作系统来判断其是否已被修改?

如果它已被更改,我可以通过从快照重新启动 WEB1 几乎立即恢复。

欢迎任何评论或批评。Mike

答案1

您没有提到使用了什么虚拟机管理程序。

如果是 KVM - 那么您可以:

  1. 定期为您的虚拟机制作快照。
  2. 使用 qemu-nbd 在主机上挂载快照挂载 qcow2 快照
  3. 运行一些文件完整性检查(例如 ossec)。
  4. 如果检测到系统文件的变化(这里您必须仔细定义什么可以改变,什么不能改变) - 那么销毁 VM 并启动一个新的。

相关内容