主页 / server / 问题 / 22953
Accepted
Chris Burgess
Asked: 2009-06-10 13:29:40 +0800 CST

识别 *nix 网络服务器上的更改文件

  • 772

寻找一些 (*nix) 软件,该软件将在服务器上构建“有趣”文件的索引,并在某些文件内容被修改或新文件出现时通知。

类似于 rkhunter 等人,但较少关注系统二进制文件,而更多地关注通过 Web 提供的可执行文件。

有什么建议吗?

linux exploit unix security rootkit

8 个回答

    • 9
  2. Best Answer

    看看OSSEC,我用它在我们的服务器上进行文件完整性检查,它非常完整且易于配置。它可以发送邮件通知,您可以通过命令行或 Web 界面查看警报...

    http://www.ossec.net/

    取自网站:

    “OSSEC 是一个基于开源主机的入侵检测系统。它执行日志分析、文件完整性检查、策略监控、rootkit 检测、实时警报和主动响应。”

    • 6

  3. 你可以试试inotify框架。您可以使用它来获取由 write_close 事件报告给您的文件列表。您可能想要调查incroninotify-tools(两者都链接自维基百科页面。

    另一方面,tripwire听起来正是您正在搜索的内容,据我所知,您可以简单地定义要查看的文件。我看不出为什么tripwire(在其基本用例中实际上适用于系统二进制文件)不适合您的用例。

    • 3

  4. 除了 AIDE 和 Tripwire(已经提到),您可能还想查看Samhain

    虽然这三个可能默认监视 /etc 和各种二进制目录,但它们可以配置为监视几乎任何东西。

    • 1

  5. 最好的包绝对是tripwire。

    这里有一个快速入门指南:penguinapple.blogspot.com

    该指南适用于 Debian,但所有 *nix 的“配置和使用”部分应该非常相似。

    • 1
    • 0

  7. 另请查看radmind。它可以进行文件系统范围的差异,然后取消应用或重新应用它们。您可以自己使用客户端实用程序,也可以使用服务器为所有差异创建存储库。

    http://rsug.itd.umich.edu/software/radmind/

    • 0

  8. CFEngine 能够跟踪任意文件的校验和以及管理您的其余配置。我假设一些带有代理的衍生配置管理工具(如 Puppet 或 Chef)可能也可以做类似的事情。

    http://cfengine.com/

    • 0

相关问题