最近、私のサーバーの1つが攻撃を受けました。ローカルセキュリティ対策の強化に加え、ファイルシステムの変更を監視するツールをインストールする予定です。
私は無料のツール(無料)が欲しいので、操作を避けるためにレポートを電子メールで送信したり、結果をリモートで保存したいと思います。
家を確認してみましたが、効果があると思います。それでも他の解決策があるかどうか知りたいです。
答え1
CentOS / RHELベースのシステムを使用している場合は、audit.x86_64
監査したいコマンド、ファイル、およびコンテンツに対してサーバーのデフォルトの監査システムをインストールして構成できます。以下にCent OSの使用法があります。 RHELサイトもリンクしましたが、アカウントが必要な場合があります。私はDebianベースのシステムやUbuntuに慣れていないので、同様のパッケージと同じコマンドです。クイック Google 検索では、Ubuntu アイテムもすばやく見つけることができます。
RHEL/セントOS:
CentOS 7でLinux監査システムを使用する方法
RHEL 7システム監査
RHEL 6システム監査
さらなる調査は、RHEL 7と同様に、Ubunutuにも同じauditctlシステムをインストールできることを示しました。
Ubuntu:
以下のコマンドを使用すると、Ubuntuにインストールされます。マニュアルページでは、それがどのように機能するかを説明する必要がありますが、RPMがインストールされているバージョンとほぼ同じであると確信しています。
sudo apt-get install auditd
答え2
tripwire
すでに少し古いですが、まだうまく機能し、期待どおりに動作します(監視対象のファイルのすべての変更について電子メール警告を送信します。たとえば、デフォルトではすべてのファイルを監視するように設定し、そうでない場合はユーザーを除外します)。ファイル/ディレクトリは気にしないでください)。
すべてではありませんが、ほとんどのLinuxディストリビューション(* bsdを含む)用に事前パッケージすることができます。以下はdebian tripwireパッケージの説明です:
Package: tripwire
Description-en: file and directory integrity checker
Tripwire is a tool that aids system administrators and users in
monitoring a designated set of files for any changes. Used with
system files on a regular (e.g., daily) basis, Tripwire can notify
system administrators of corrupted or tampered files, so damage
control measures can be taken in a timely manner.
Homepage: https://github.com/Tripwire/tripwire-open-source
またgit
、すべての重要なファイルのバージョン管理をお勧めします(git push
変更をバックアップとしてリモートリポジトリにプッシュすることで、破損や偶発的または意図的な削除を防ぎます)。
もちろん、etckeeper
自動化されたバージョン管理の場合(git
デフォルトでは)/etc
:
Package: etckeeper
Description-en: store /etc in git, mercurial, bzr or darcs
The etckeeper program is a tool to let /etc be stored in a git, mercurial,
bzr or darcs repository. It hooks into APT to automatically commit changes
made to /etc during package upgrades. It tracks file metadata that version
control systems do not normally support, but that is important for /etc, such
as the permissions of /etc/shadow. It's quite modular and configurable, while
also being simple to use if you understand the basics of working with version
control.
Homepage: https://etckeeper.branchable.com/
答え3
AIDE is a tool for monitoring file system changes. It can be used
to detect unauthorized monitored files and directories. AIDE was
written to be a simple and free alternative to Tripwire. Features
currently included in AIDE are as follows:
o File attributes monitored: permissions, inode, user, group
file size, mtime, atime, ctime, links and growing size.
o Checksums and hashes supported: SHA1, MD5, RMD160, and TIGER.
CRC32, HAVAL and GOST if Mhash support is compiled in.
o Plain text configuration files and database for simplicity.
o Rules, variables and macros that can be customized to local
site or system policies.
o Powerful regular expression support to selectively include or
exclude files and directories to be monitored.
o gzip database compression if zlib support is compiled in.
o Free software licensed under the GNU General Public License.
The homepage of AIDE is https://aide.github.io