최근 몇 가지 보안 문제가 있었고 내 코드가 안전한지 완전히 확신할 수 없기 때문에 일부 폴더를 검사하고 파일이 변경되거나 새 파일이 나타날 때 알림을 받는 것에 대해 생각해 왔습니다.
이 작업을 수행할 수 있는 도구가 있나요?
답변1
Linux 감사 시스템이 있는데 데비안에 기본적으로 설치되어 있는지는 모르겠지만 다음을 통해 설치할 수 있습니다.
$ sudo apt-get install auditd audispd-plugins
여기에서 구성해야 하며 구성 파일은 이며 /etc/audit/audit.rules
목적에 적합한 규칙은 다음과 같습니다.
# Delete all previous rules
-D
# Set buffer size
-b 8192
# Make the configuration immutable -- reboot is required to change audit rules
-e 2
# Panic when a failure occurs
-f 2
# Generate at most 100 audit messages per second
-r 100
# -w: Watch a file or directory
# -p: Parameters to watch in this case are [w]rite and [a]ttributes,
# you can also add [r]ead and e[x]ecute but I think those
# are not needed in your case
# -k: An optional friendly name to facilitate searching the logs
-w /path/to/your/repo -p wa -k name_for_easy_searching
감사 설정이 준비되었습니다. auditd 데몬을 다시 시작하여 새 규칙을 로드하고 실제로 로드되었는지 확인하세요 auditctl -l
.
이제 저장소가 커널 수준에서 모니터링되므로 모든 변경 사항이 기록됩니다.
ausearch -k name_for_easy_searching
저장소에 대한 모든 변경 사항 목록을 가져오는 데 사용됩니다 .
여기에서는 로그를 구문 분석하고, 사용자가 변경한 내용을 무시하고, 이메일을 보내고, 크론 작업을 설정하여 주기적으로 확인하는 방법을 배우게 됩니다.
행운을 빌어요.
답변2
또 다른 옵션은 AIDE(고급 침입 탐지 환경)입니다. 무료이며 샘플 구성 파일 중 하나를 사용하여 쉽게 시작할 수 있습니다.