サーバー上のファイルシステムの変更を監視する最良の方法

サーバー上のファイルシステムの変更を監視する最良の方法

最近、私のサーバーの1つが攻撃を受けました。ローカルセキュリティ対策の強化に加え、ファイルシステムの変更を監視するツールをインストールする予定です。

私は無料のツール(無料)が欲しいので、操作を避けるためにレポートを電子メールで送信したり、結果をリモートで保存したいと思います。

家を確認してみましたが、効果があると思います。それでも他の解決策があるかどうか知りたいです。

答え1

CentOS / RHELベースのシステムを使用している場合は、audit.x86_64監査したいコマンド、ファイル、およびコンテンツに対してサーバーのデフォルトの監査システムをインストールして構成できます。以下にCent OSの使用法があります。 RHELサイトもリンクしましたが、アカウントが必要な場合があります。私はDebianベースのシステムやUbuntuに慣れていないので、同様のパッケージと同じコマンドです。クイック Google 検索では、Ubuntu アイテムもすばやく見つけることができます。

RHEL/セントOS:
CentOS 7でLinux監査システムを使用する方法
RHEL 7システム監査
RHEL 6システム監査

さらなる調査は、RHEL 7と同様に、Ubunutuにも同じauditctlシステムをインストールできることを示しました。

Ubuntu:
以下のコマンドを使用すると、Ubuntuにインストールされます。マニュアルページでは、それがどのように機能するかを説明する必要がありますが、RPMがインストールされているバージョンとほぼ同じであると確信しています。
sudo apt-get install auditd

答え2

tripwireすでに少し古いですが、まだうまく機能し、期待どおりに動作します(監視対象のファイルのすべての変更について電子メール警告を送信します。たとえば、デフォルトではすべてのファイルを監視するように設定し、そうでない場合はユーザーを除外します)。ファイル/ディレクトリは気にしないでください)。

すべてではありませんが、ほとんどのLinuxディストリビューション(* bsdを含む)用に事前パッケージすることができます。以下はdebian tripwireパッケージの説明です:

Package: tripwire
Description-en: file and directory integrity checker
 Tripwire is a tool that aids system administrators and users in
 monitoring a designated set of files for any changes.  Used with
 system files on a regular (e.g., daily) basis, Tripwire can notify
 system administrators of corrupted or tampered files, so damage
 control measures can be taken in a timely manner.

Homepage: https://github.com/Tripwire/tripwire-open-source

またgit、すべての重要なファイルのバージョン管理をお勧めします(git push変更をバックアップとしてリモートリポジトリにプッシュすることで、破損や偶発的または意図的な削除を防ぎます)。

もちろん、etckeeper自動化されたバージョン管理の場合(gitデフォルトでは)/etc

Package: etckeeper
Description-en: store /etc in git, mercurial, bzr or darcs
 The etckeeper program is a tool to let /etc be stored in a git, mercurial,
 bzr or darcs repository. It hooks into APT to automatically commit changes
 made to /etc during package upgrades. It tracks file metadata that version
 control systems do not normally support, but that is important for /etc, such
 as the permissions of /etc/shadow. It's quite modular and configurable, while
 also being simple to use if you understand the basics of working with version
 control.

Homepage: https://etckeeper.branchable.com/

答え3

AIDE is a tool for monitoring file system changes. It can be used
to detect unauthorized monitored files and directories. AIDE was
written to be a simple and free alternative to Tripwire. Features
currently included in AIDE are as follows:

    o  File attributes monitored: permissions, inode, user, group
       file size, mtime, atime, ctime, links and growing size.
    o  Checksums and hashes supported: SHA1, MD5, RMD160, and TIGER.
       CRC32, HAVAL and GOST if Mhash support is compiled in.
    o  Plain text configuration files and database for simplicity.
    o  Rules, variables and macros that can be customized to local
       site or system policies.
    o  Powerful regular expression support to selectively include or
       exclude files and directories to be monitored.
    o  gzip database compression if zlib support is compiled in.
    o  Free software licensed under the GNU General Public License.

The homepage of AIDE is https://aide.github.io

関連情報