Идентификация измененных файлов на *отклоняет веб-сервер
Как то, почему 100-летнее вино так популярно. Его 'в возрасте к совершенству'. RHEL сертифицирует себя как стабильный и предлагает поддержку тому эффекту. По сути, они прилагают все усилия для создания штопки уверенной код, они упаковывают работы ко всем ожиданиям. Проблема, они остаются два шага позади текущего края разработки в их выпусках, однако эта политика дает корпоративным пользователям теплое и нечеткое чувство.
Время от времени они укушены, я помню их вытягивающий некоторый сумасшедший код от нестабильного дерева perl и заставляющий огромное количество aps достигнуть 100%-й загрузки ЦП.. разработчики также раздражаются, потому что упакованные библиотеки древние.
Действительно, почему что-нибудь популярно? Поскольку много людей говорит, что "Работало хорошо на меня". Вы получаете проверенный на практике код с патчами RedHats, примененными, чтобы зафиксировать и раздавить все ошибки, о которых сообщают. Единственным путем они могут сделать, который должен дать Вам более старый код, который имел время для тушения в дикой природе.
Лично, я нахожу его слишком ограничивающим, я должен изменить свое ядро, не освобождая мое соглашение о поддержке.. но многие другие люди просто хотят проклятую вещь работать :)
Взгляд на OSSEC, я использую его, чтобы сделать, целостность файлов проверяет наши серверы, это очень завершено и легко настроить. Это может отправить почтовое уведомление, можно проверить предупреждения через командную строку или веб-интерфейс...
взятый с веб-сайта:
"OSSEC является Основанной на хосте Системой обнаружения проникновения С открытым исходным кодом. Это выполняет анализ журнала, проверку целостности файлов, контроль политики, обнаружение руткита, предупреждение в реальном времени и активный ответ".
-
1+1 для ossec. Это безусловно самый активный/разрабатывает из них. Это также включает системные возможности аудита, которые предупреждают на неправильных/небезопасных параметрах конфигурации.. – sucuri 10 June 2009 в 16:55
Можно хотеть посмотреть на Растяжку или ПОМОЩНИКА
Оба отследят изменения файла конфигурации на Ваших машинах.
См. также:
-
1+1 для ПОМОЩНИКА, который я couldn' t помнят, так как Растяжка, кажется, пошла собственная – serverhorror 10 June 2009 в 00:47
-
2Ужас @Server\Да, исходная Растяжка пошла коммерческая, но когда это произошло, проект, разветвленный в " Tripwire" С открытым исходным кодом; который расположен в sourceforge.net/projects/tripwire . – sunny256 10 June 2009 в 01:15
-
3Растяжка/ПОМОЩНИК больше не активна... Последняя версия ПОМОЩНИКА была с 2006 и Растяжка путь прежде... OSSEC, Samhain и Osiris являются активными. – sucuri 10 June 2009 в 16:56
Вы могли бы попробовать inotify платформу. Вы могли использовать его для получения списка файлов, о которых сообщает Вам write_close событие. Вы могли бы хотеть исследовать incron или inotify-инструменты (оба связались от страницы Википедии.
С другой стороны, это кажется, что растяжка точно, что Вы ищете к моему знанию, которое можно просто определить который файлы посмотреть на. Я не вижу оснований, почему растяжка (то, которое предоставило, на самом деле для системных двоичных файлов в, он - основной вариант использования), не подходит для Вашего варианта использования.
В дополнение к ПОМОЩНИКУ и Растяжке (уже упомянутый), Вы могли бы хотеть проверить Samhain.
В то время как все три, вероятно, значение по умолчанию к контролю / и т.д. и различные двоичные каталоги, они могут быть настроены для контроля в значительной степени чего-либо.
Лучший пакет для этого является определенно растяжкой.
Здесь существует руководство по быстрому началу работы: penguinapple.blogspot.com
Руководство для Debian, но раздел "Configuration and Use" должен быть очень похожим для всех *, отклоняют.
CFEngine имеет возможность отслеживать контрольные суммы для произвольных файлов, а также управлять остальной частью вашей конфигурации. Я предполагаю, что некоторые производные инструменты управления конфигурацией (например, Puppet или Chef) с агентами, вероятно, также могут делать что-то подобное.