私はどのように読んだかを読んだ。AWS EC2 ファイルシステムの変更のモニタリングLinux監査システムでは、すべてが合理的です。また、RHEL監査システムの文書も閲覧しました。特定の「重要」ファイルセットが変更または削除されたことを確認するために、監査レポートを継続的に確認したくありません。
特定の監査イベントが発生したときに何らかの警告を受け取る方法はありますか?少なくとも私が定義できるスクリプトを実行しますか? (これはスクリプトで好きなようにすることができます。メール送信、CloudWatchに送信、SNSに送信など)
Amazon Linux 2 EC2インスタンスを使用しています。
答え1
この監査システムは多少過剰になる可能性があります。
以下を使用する単純なC、C ++、go、Rustなどのプログラムファン通知ファイルシステムイベントを傍受する機能はより実用的であり、すべての警告メカニズムとうまく統合できます。たとえば、通知ライブラリを一般的に使用できる一般的な言語の fanotify をカプセル化する pyfanotify Python ライブラリがあります。
答え2
私の考えでは、あなたが欲しいと思います。アシスタント
高度な侵入検知システム
/etc/aide.conf
ファイルの削除、修正などを知らせるメール機能を内蔵したカスタマイズできるファイルがあります。
ヘルパーを構成し使用する方法に関する多くのインターネット記事があります。
aideは完全にサポートされているLinuxプログラムです... EPELから入手せずにRHELインストールに含まれていると思うので、Amazon設定から入手するのに問題はないようです。