서버의 파일 시스템 변경 사항을 모니터링하는 가장 좋은 방법

tag-icon tag-icon filesystems monitoring
서버의 파일 시스템 변경 사항을 모니터링하는 가장 좋은 방법

최근 내 서버 중 하나가 공격을 받았습니다. 로컬 보안 조치를 강화하는 것 외에도 파일 시스템 변경 사항을 모니터링하는 도구를 설치할 계획입니다.

나는 무료 도구(무료)를 원하며 조작을 피하기 위해 보고서를 이메일로 보내거나 결과를 원격으로 저장하고 싶습니다.

집을 확인해 봤는데 효과가 있을 것 같아요. 그래도 다른 해결책이 있는지 알고 싶습니다.

답변1

CentOS/RHEL 기반 시스템을 사용하는 경우 audit.x86_64감사하려는 명령, 파일 및 콘텐츠에 대해 서버의 기본 감사 시스템을 설치하고 구성할 수 있습니다. 아래에 Cent OS 사용법이 있습니다. RHEL 사이트도 연결했지만 계정이 필요할 수 있습니다. 저는 Debian 기반 시스템이나 Ubuntu에 익숙하지 않기 때문에 유사한 패키지와 동일한 명령일 수 있습니다. 빠른 Google 검색을 통해 Ubuntu 항목도 빠르게 찾을 수 있습니다.

RHEL/센트OS:
CentOS 7에서 Linux 감사 시스템을 사용하는 방법
RHEL 7 시스템 감사
RHEL 6 시스템 감사

추가 조사 결과, RHEL 7과 마찬가지로 Ubunutu에도 동일한 auditctl 시스템을 설치할 수 있는 것으로 나타났습니다.

우분투:
아래 명령을 사용하면 Ubuntu에 설치됩니다. 매뉴얼 페이지에서는 그것이 어떻게 작동하는지 설명해야 하지만 RPM이 설치된 버전과 거의 동일하다고 확신합니다.
sudo apt-get install auditd

답변2

tripwire이미 약간 오래되었지만 여전히 훌륭하게 작동하고 예상된 작업을 수행합니다(모니터링되는 파일의 모든 변경 사항에 대해 이메일 경고를 보냅니다. 예를 들어 기본적으로 모든 파일을 감시하도록 설정하고 그렇지 않으면 사용자를 제외합니다). 파일/디렉토리는 신경 쓰지 마세요).

전부는 아니지만 대부분의 Linux 배포판(*bsd 포함)에 대해 사전 패키지될 수 있습니다. 다음은 debian tripwire 패키지의 설명입니다:

Package: tripwire
Description-en: file and directory integrity checker
 Tripwire is a tool that aids system administrators and users in
 monitoring a designated set of files for any changes.  Used with
 system files on a regular (e.g., daily) basis, Tripwire can notify
 system administrators of corrupted or tampered files, so damage
 control measures can be taken in a timely manner.

Homepage: https://github.com/Tripwire/tripwire-open-source

또한 git모든 중요한 파일에 대한 버전 제어를 권장합니다(그리고 git push변경 사항을 백업으로 원격 저장소에 푸시하여 손상 및 우발적이거나 의도적인 삭제를 방지함).

물론, etckeeper자동화된 버전 제어의 경우( git기본적으로) /etc:

Package: etckeeper
Description-en: store /etc in git, mercurial, bzr or darcs
 The etckeeper program is a tool to let /etc be stored in a git, mercurial,
 bzr or darcs repository. It hooks into APT to automatically commit changes
 made to /etc during package upgrades. It tracks file metadata that version
 control systems do not normally support, but that is important for /etc, such
 as the permissions of /etc/shadow. It's quite modular and configurable, while
 also being simple to use if you understand the basics of working with version
 control.

Homepage: https://etckeeper.branchable.com/

답변3

AIDE is a tool for monitoring file system changes. It can be used
to detect unauthorized monitored files and directories. AIDE was
written to be a simple and free alternative to Tripwire. Features
currently included in AIDE are as follows:

    o  File attributes monitored: permissions, inode, user, group
       file size, mtime, atime, ctime, links and growing size.
    o  Checksums and hashes supported: SHA1, MD5, RMD160, and TIGER.
       CRC32, HAVAL and GOST if Mhash support is compiled in.
    o  Plain text configuration files and database for simplicity.
    o  Rules, variables and macros that can be customized to local
       site or system policies.
    o  Powerful regular expression support to selectively include or
       exclude files and directories to be monitored.
    o  gzip database compression if zlib support is compiled in.
    o  Free software licensed under the GNU General Public License.

The homepage of AIDE is https://aide.github.io

관련 정보