Estamos procurando uma solução simples de monitoramento de integridade de arquivos no CentOS / Linux que funcione no nível do aplicativo. Nós não estamos procurando IDS no nível de OS / rede como OSSEC e os outros fazem um bom trabalho nisso.
Nós olhamos para o centralizado (OSSEC) e não centralizado (Tripwire Open Source), porém cada um tem sua limitação em relação a restrições de arquivos e monitoramento recursivo de milhares de arquivos / diretórios.
Essencialmente, temos milhares de arquivos php / cgi / pl que gostaríamos de monitorar para alterações / injeções. O problema é que eles estão todos em diretórios que podem conter outros tipos de arquivos e outras coisas que mudam. A verificação de integridade de diretório não é uma opção, pois o diretório pode ser alterado, mas não os arquivos que estamos interessados em monitorar.
Existe um software lá fora que pode receber um comando 'find' para obter uma lista de arquivos, colocar essa lista de arquivos em um banco de dados com uma soma de verificação md5 para cada arquivo e, na próxima execução, corresponder ao arquivo da lista de arquivos arquivo e alertas de quaisquer alterações nas somas de verificação md5 e novos arquivos?
Você pode usar o auditd (userspace) - crie regras, centralize as mensagens e filtre os logs de eventos de acordo com suas necessidades. Não verificará a integridade, mas monitorará as alterações. Se você estiver executando serviços personalizados, não será difícil escrever o utilitário de verificação de integridade.
BTW. regras de regexp para nomes de arquivos não são suportadas pelo OSSEC para verificação de integridade de arquivos? O_o
Talvez você possa experimentar o AIDE ( link ) e criar uma regra que monitore apenas os arquivos * php / cgi / pl. / p>
A maioria dos sistemas de monitoramento de integridade de arquivos deve ser capaz de fazer isso, criando um instantâneo de linha de base 'bem-conhecido' que arquivos são posteriormente verificados.
Você já mencionou os sistemas de código aberto OSSEC e o Tripwire, mas também há algumas opções comerciais - que normalmente uma interface de usuário melhor, muito mais fácil de configurar e um console de gerenciamento central. Uma dessas opções é Verisys , que permite especificar padrões para os arquivos a serem incluídos e excluídos. Algumas informações do guia do usuário aqui .
Confira Mugsy . Você pode monitorar diretórios específicos, mas excluir certos padrões. Ele registra localmente, bem como para elasticsearch.