Outra alternativa é configurar o tripwire , que é um software da GPL que mostra todos os arquivos importantes em seu sistema e determina quais foram alterados de formas que você definiu como inaceitáveis. A mudança pode ser definida simplesmente como mtime, através do número de inode, até checksums criptograficamente strongs.
São necessárias algumas configurações e ajustes se você não quiser obter muitos relatórios toda noite sobre arquivos alterados em /var/run
, alterações em arquivos de clientes DHCP em /etc
e coisas semelhantes, mas se você vá para esse problema, pode ser realmente muito útil.
O banco de dados de propriedades de arquivo é assinado com uma chave não conhecida na máquina, o que ajuda você a ter certeza de que nenhuma ferramenta alterou maliciosamente o banco de dados ou os binários do tripwire. Para ter certeza absoluta, você pode gravar uma cópia das ferramentas e bancos de dados tripwire em uma mídia somente leitura, que pode ser montada no servidor e usada para verificar todas as alterações desde que o disco foi gravado, se for necessária uma análise forense completa.
Se você for fazer isso, é muito importante configurar e executar o tripwire antes de a máquina ser implantada na produção, ou você nunca pode ter certeza absoluta de que algum usuário mal-intencionado não teve a chance de infectar o computador. máquina antes de ser tripwired.