Melhor maneira de monitorar mudanças no sistema de arquivos em um servidor

0

Recentemente, tenho um ataque a um dos meus servidores. Além de endurecer as medidas de segurança, planejo instalar uma ferramenta para monitorar as alterações no sistema de arquivos.

Eu quero uma ferramenta gratuita (sem custo) e quero que ela envie relatórios por e-mail ou salve os resultados remotamente para evitar a manipulação.

Eu tenho verificado a fam e acho que poderia fazer o trabalho. No entanto, eu queria saber se existem outras soluções por aí.

    
por Raul Luna 11.01.2018 / 22:39

2 respostas

5

Se você estiver usando um sistema baseado no CentOS / RHEL, poderá instalar o audit.x86_64 e configurar o sistema de auditoria padrão do servidor para comandos, arquivos, o que estiver procurando auditar. Há um como para o Cent OS abaixo e eu também vinculei o site RHEL, mas pode exigir uma conta. Eu não estou familiarizado com sistemas baseados em Debian ou Ubuntu, então podem ser os mesmos comandos com um pacote similar. Uma busca rápida no google também encontra algo para o Ubuntu bem rápido.

RHEL / CentOS:
CentOS 7 Como usar o sistema de auditoria do Linux
Auditoria do sistema RHEL 7
Auditoria do sistema RHEL 6

Depois de examinar um pouco mais, o mesmo sistema auditctl parece poder ser instalado no Ubunutu como o RHEL 7.

Ubuntu:
o comando abaixo irá instalá-lo no Ubuntu. as man pages devem explicar como funciona, embora eu tenha quase certeza de que é quase igual à versão instalada do RPM.
sudo apt-get install auditd

    
por 11.01.2018 / 22:48
1

tripwire está ficando um pouco longo no dente, mas ainda funciona bem e faz o trabalho que deveria (enviar e-mails avisando sobre todas as alterações nos arquivos monitorados - por exemplo, configurá-lo para monitorar todos os arquivos por padrão e excluir arquivos / pastas com os quais você não se importa).

Disponível pré-empacotado para a maioria, se não para todas as distribuições linux (assim como * bsd). Aqui está a descrição do pacote debian tripwire:

Package: tripwire
Description-en: file and directory integrity checker
 Tripwire is a tool that aids system administrators and users in
 monitoring a designated set of files for any changes.  Used with
 system files on a regular (e.g., daily) basis, Tripwire can notify
 system administrators of corrupted or tampered files, so damage
 control measures can be taken in a timely manner.

Homepage: https://github.com/Tripwire/tripwire-open-source

Também recomendo usar git para controle de versão de todos os arquivos importantes (e git push para enviar alterações para um repositório remoto como backup para proteção contra corrupção e exclusão acidental ou deliberada).

E, é claro, etckeeper para automatizar o controle de revisão ( git por padrão) em /etc :

Package: etckeeper
Description-en: store /etc in git, mercurial, bzr or darcs
 The etckeeper program is a tool to let /etc be stored in a git, mercurial,
 bzr or darcs repository. It hooks into APT to automatically commit changes
 made to /etc during package upgrades. It tracks file metadata that version
 control systems do not normally support, but that is important for /etc, such
 as the permissions of /etc/shadow. It's quite modular and configurable, while
 also being simple to use if you understand the basics of working with version
 control.

Homepage: https://etckeeper.branchable.com/
    
por 12.01.2018 / 06:43