Мой вопрос похож на Узнайте, какой процесс изменяет файл , но мне нужно кое-что еще. inotify сообщает только о нескольких событиях в файле, Auditd также просто дает нам pid, который что-то сделал с файлом. но мне нужно знать более подробную информацию об изменениях, например, что процесс действительно сделал с файлом, например, содержимое добавленного или удаленного файла, если добавлен новый файл, то кто добавил этот файл, если разрешения были изменены, то кем, и какие были разрешения до / после и т. д.
Короче говоря, есть ли альтернатива inofity anf AuditD? Я также использую OSSEC для этой цели, но мне нужно знать, есть ли что-нибудь получше.
Вы можете собрать что-нибудь вместе, используя Сервисные тесты Monit. Либо содержимое файла, либо проверка контрольной суммы.
В противном случае вы ищете что-то более полное, например Tripwire? Хотя есть бесплатный вариант, похоже, вы заинтересованы в полном решении для аудита. В Монитор целостности файлов от Tripwire делает то, о чем вы просите.
Может быть САМАЙН, слишком...
Есть ли особая проблема с OSSEC решение, которое у вас есть сейчас?
Сработает ли для вас объединение incron
и git
? incron заметит изменения файла / каталога и немедленно зафиксирует файл в репозитории git. Так вы хотя бы заметили изменения.
ausearch
предоставляет вам подробную информацию о том, кто изменил файл, какая команда была использована, какие права доступа к файлу и так далее.