Простой мониторинг целостности файлов на уровне приложений и обнаружение вторжений (IDS)

Question

Простой мониторинг целостности файлов на уровне приложений и обнаружение вторжений (IDS)

Мы искали простое решение для мониторинга целостности файлов в CentOS/Linux, которое будет работать на уровне приложений. Мы не ищем IDS на уровне ОС / сети, так как OSSEC и другие делают это довольно хорошо.

Мы рассмотрели централизованный (OSSEC) и нецентрализованный (Tripwire Open Source), однако у каждого из них есть свои ограничения в отношении ограничений файлов и рекурсивный мониторинг тысяч файлов / каталогов.

По сути, у нас есть тысячи файлов php / cgi / pl, которые мы хотели бы отслеживать на предмет изменений / инъекций. Проблема в том, что все они находятся в каталогах, которые могут содержать другие типы файлов и другие изменения. Проверка целостности каталога - это не вариант, так как каталог может измениться, но не файлы, которые мы заинтересованы в мониторинге.

Существует ли какое-либо программное обеспечение, которое может взять команду 'find', чтобы получить список файлов, помещает этот список файлов в базу данных с контрольной суммой md5 для каждого файла, а затем при следующем запуске соответствует файлу списка файлов по файлам и оповещениям каких-либо изменений контрольных сумм md5 и новых файлов?

2

ossec ids intrusion-detection ips tripwire

Источник

Dev 17 авг '13 в 13:06

4 ответа

Другие вопросы по тегам ossec ids intrusion-detection ips tripwire

Supremo 06 сен '13 в 03:13 2013-09-06 03:13 · Answer 1 · 2013-09-06 03:13

Возможно, вы можете попробовать AIDE ( http://aide.sourceforge.net/) и создать правило, которое будет отслеживать только файлы *php/cgi/pl.

1

Источник

Supremo 06 сен '13 в 03:13

Banjer 09 июл '14 в 18:57 2014-07-09 18:57 · Answer 2 · 2014-07-09 18:57

Проверьте Mugsy. Вы можете отслеживать определенные каталоги, но исключать определенные шаблоны. Он регистрирует локально, а также для поиска эластичности.

0

Источник

Banjer 09 июл '14 в 18:57

GioMac 17 авг '13 в 13:16 2013-08-17 13:16 · Answer 3 · 2013-08-17 13:16

Вы можете использовать audd (userspace) - создавать правила, централизовать сообщения и фильтровать журналы событий в соответствии с вашими потребностями. Он не будет проверять целостность, но будет следить за изменениями. Если вы работаете с пользовательскими службами, то не составит труда написать утилиту проверки целостности.

КСТАТИ. Правила регулярных выражений для имен файлов не поддерживаются OSSEC для проверки целостности файла? O_o

Cocowalla 01 июл '16 в 13:06 2016-07-01 13:06 · Answer 4 · 2016-07-01 13:06

Большинство систем мониторинга целостности файлов должны быть в состоянии сделать это, создав "хорошо зарекомендовавший себя" базовый моментальный снимок, по которому впоследствии проверяются файлы.

Вы уже упомянули системы с открытым исходным кодом OSSEC и Tripwire, но есть также несколько коммерческих вариантов - которые обычно имеют лучший пользовательский интерфейс, намного проще в настройке и поставляются с центральной консолью управления. Одним из таких вариантов является Verisys, который позволит вам указать шаблоны для включаемых и исключаемых файлов. Некоторая информация из руководства пользователя здесь.