파일 변경 사항을 모니터링하는 방법

파일 변경 사항을 모니터링하는 방법

Debian 9 서버의 일부 파일은 수정한 후 정기적으로 원래 상태로 덮어쓰여집니다. 어떤 프로세스/프로그램이 이 작업을 수행하고 있는지 찾을 수 없습니다. crontab에는 아무것도 정의되어 있지 않습니다. 아마도 원격 서버(예: Ansible/Puppet)에서 온 것일 수 있지만 이에 대한 증거를 찾을 수 없습니다.

lsof사용해 보았지만 fuser파일을 사용하는 프로세스가 없습니다.

내 질문은 이러한 파일을 감시하고 어떤 프로세스가 해당 내용을 변경했는지 알아보기 위해 모니터를 설정하는 방법입니다.

답변1

좋은 질문! 침입 탐지 시스템은 이와 같은 용도로 사용되거나 적어도 그렇게 될 수 있으므로 아마도 그 중 하나(보조, 트립와이어...)가 이미 이 기능을 가지고 있거나 거기에서 요청할 수 있습니다.

수정 중인 파일을 알고 있는 경우전진(또는 수정되지 않은 중요한 파일 목록을 보관하고 직접 수정한 시간과 사용자 이름을 표시) 추천 콘텐츠를 사용할 수 있습니다여기.

사용하고 싶다면auditd 여기이를 수행하기 위한 지침을 찾을 수 있습니다.

관련 정보