open source file integrity monitoring linux ? ктото чото ?

Для любителей просто поболтать

open source file integrity monitoring linux ? ктото чото ?

Сообщение skoltogyan » 16 ноя 2022, 07:04

open source file integrity monitoring linux ? кто-то чо-то использует или использовал opensource-ое ?
skoltogyan
 
Сообщения: 2043
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Re: open source file integrity monitoring linux ? ктото чот

Сообщение Dimerson » 16 ноя 2022, 08:42

подскажите что за задача
?
у меня есть несколько устройств требующих в т.ч. и проверку целостности. Но это делается средствами АПМДЗ (это увы не OpenSource).
Аватара пользователя
Dimerson
 
Сообщения: 2959
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: open source file integrity monitoring linux ? ктото чот

Сообщение skoltogyan » 16 ноя 2022, 11:44

чекать были ли изменения в конфигурационных файлах и в указаных каталогах.
где-то это собирать в одном месте.
наверное и логи хорошо-бы собирать и хранить :) ( но то так... хорошобы)
ну и при обнаружении расхождений с сохраненным уведомление отправлять :)
skoltogyan
 
Сообщения: 2043
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Re: open source file integrity monitoring linux ? ктото чот

Сообщение Константин Ошмян » 27 мар 2024, 18:51

Я знаю два варианта.

Первый вариант - это при использовании системы мониторинга Zabbix в стандартном агенте есть возможность собирать контрольные суммы либо время последней модификации файлов. Можно в шаблон для Linux-а добавить нужные файлы и настроить реакцию на их изменение.
Преимущества: просто настроить, если Zabbix уже используется.
Недостатки: каждый контролируемый файл нужно явно перечислять в шаблоне; агенту нужно иметь права на чтение этих файлов (в случае контрольных сумм) или папок, в которых они находятся (в случае времени последней модификации).

Второй вариант, описанный в Security Guide по SLES-у, - это использование утилиты AIDE (для SLES 15 это описано в главе 13). Она не устанавливается по умолчанию, её надо доставлять явно (RPM-пакет aide). Ничего не защищает сама по себе, но позволяет на основе периодического сканирования файловой системы замечать подозрительные изменения.
В общих чертах это выглядит так:
  • Настройки задаются в конфигурационном файле /etc/aide.conf. Сначала задаются общие параметры (местонахождение базы AIDE и т.п.), потом – собственно, что и как проверять. Командой aide --config-check можно проверить корректность конфиг-файла (при ошибках выдаст последнюю корректную строку, предшествующую ошибке).
  • Команда aide -i (после всех инсталяций и начальных настроек) инициализирует базу данных AIDE. Рекомендуется её после этого скопировать на внешний носитель или другой сервер.
  • Проверка выполняется командой aide --check (если всё OK, то вывод будет пустым). При обнаружении различий будет выведено краткое резюме (summary со статистикой), для более детального отчёта нужно добавить ещё параметр "-V" (verbose): aide --check -V
  • Дополнительная информация – в комментариях к конфиг-файлу и в папке /usr/share/doc/packages/aide
  • Запуск с ключами "-i" (--init) или "-u" (--update) записывают текущее состояние в базу данных, заданную параметром database_out (по умолчанию – файл aide.db.new), в то время как при проверке (запуск с ключом "-C" или "--check", либо без ключей) используется база данных, указанная параметром database (по умолчанию – файл aide.db). Сделано умышленно, чтобы при проверке случайно не затереть прежнюю базу.
  • Основная мысль: при проверке база должна быть доступна в режиме "read-only", причём желательно с какого-то внешнего носителя (например, CD-R).
Аватара пользователя
Константин Ошмян
 
Сообщения: 991
Зарегистрирован: 13 авг 2002, 21:36
Откуда: Рига


Вернуться в Флейм

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 5