Мониторинг изменений файла, показывающий, что содержимое файла изменилось
Мой вопрос похож на выяснить, какой процесс изменяет файл, но мне нужно что-то еще. inotify только сообщает о нескольких событиях в файле, Auditd также просто дает нам pid, который что-то сделал с файлом. но мне нужно знать больше подробностей об изменениях, например, что на самом деле сделал процесс для файла, например, содержимое добавленного или удаленного файла, если добавлен новый файл, кто добавил этот файл, если кто-то изменил разрешения, и что было до / после разрешений и т. д.
Короче говоря, есть ли альтернатива бездействию и AuditD? Я также использую OSSEC для этой цели, но мне нужно знать, есть ли что-то лучшее.
2 ответа
Вы можете собрать что-нибудь вместе, используя сервисные тесты Monit. Либо содержимое файла, либо проверка контрольной суммы.
В противном случае, вы ищете что-то более всеобъемлющее, как Tripwire? Хотя есть бесплатный вариант, похоже, вы заинтересованы в полном решении для аудита. Монитор целостности файлов от Tripwire делает то, что вы просите.
Может быть, SAMHAIN тоже...
Есть ли какая-то конкретная проблема с имеющимся у вас решением OSSEC?
Будет ли работать для вас, чтобы объединить incron а также git? incron будет замечать изменения file/ dir и затем немедленно фиксировать файл в репозиторий git. Таким образом, вы могли по крайней мере увидеть изменения.
ausearch предоставляет вам подробную информацию о том, кто изменил файл, какая команда использовалась, какие права доступа к файлу были / были и так далее.