我们的资源严重有限,而 Samhain 似乎是针对文件完整性监控最有力地应对 CPU 等资源限制的解决方案。
目标环境是内部部署的 k8s,我们感兴趣的是监控节点上的操作系统和配置文件以确保安全合规性。
FIM 解决方案大约有 50MB,可能会部署在安装的所有节点的 Daemonset 中。
我们遇到的问题是 Samhain 在扫描时会将整个数据库读入内存,因此对于 500k 个文件,它会占用大约 500MB 的内存,而这在目标环境中是无法容纳的。但是,如果我们可以让 Samhain 每次都从数据库中读取数据,而不是将其加载到内存中,我们可以允许扫描性能显著下降。然而,我们尝试了一些方法,但都失败了(包括对代码进行了一些黑客攻击)。
有人成功做到了吗?(你能分享解决方案吗)
避免xy问题如果有人有一个适用于资源匮乏的硬件的 FIM 解决方案,那就太好了。