Ищете какое-нибудь (* nix) программное обеспечение, которое будет создавать индекс "интересных" файлов на сервере и уведомлять, когда некоторые из этих файлов изменяются или появляются новые файлы.
Подобно rkhunter et al, но меньше внимания уделяется системным двоичным файлам и больше исполняемым файлам, обслуживаемым через Интернет.
Есть рекомендации?
Вы можете посмотреть на Tripwire или Помощник
Оба будут отслеживать изменения файла конфигурации на ваших машинах.
Смотрите также:
смотреть на OSSEC, Я использую его для проверки целостности файлов на наших серверах, он очень полный и легко настраивается. Он может отправлять уведомления по электронной почте, вы можете проверять предупреждения через командную строку или веб-интерфейс ...
взято с сайта:
"OSSEC - это система обнаружения вторжений на основе хоста с открытым исходным кодом. Она выполняет анализ журналов, проверка целостности файла, мониторинг политик, обнаружение руткитов, оповещение в реальном времени и активный ответ ».
Вы можете попробовать inotify фреймворк. Вы можете использовать его для получения списка файлов, о которых вам сообщает событие write_close. Вы можете захотеть исследовать Incron или инструменты inotify (оба связаны со страницы википедии.
С другой стороны, это звучит как растяжка это именно то, что вы ищете, насколько мне известно, вы можете просто определить, какие файлы смотреть. Я не вижу причины, по которой tripwire (который фактически предоставляется для системных двоичных файлов в основном варианте использования) не подходит для вашего варианта использования.
Лучшим пакетом для этого, безусловно, является tripwire.
Здесь есть краткое руководство: penguinapple.blogspot.com
Руководство предназначено для Debian, но раздел «Конфигурация и использование» должен быть очень похожим для всех * nix.
В дополнение к AIDE и Tripwire (уже упомянутым) вы можете попробовать Самайн.
Хотя все три, вероятно, по умолчанию отслеживают / etc и различные двоичные каталоги, их можно настроить для мониторинга практически всего.
Взгляните на systraq
Также посмотрите на радость. Он может выполнять различия для всей файловой системы, а затем отменять или повторно применять их. Вы можете использовать клиентские утилиты сами по себе или использовать сервер для создания репозитория для всех ваших различий.
CFEngine имеет возможность отслеживать контрольные суммы для произвольных файлов, а также управлять остальной частью вашей конфигурации. Я предполагаю, что некоторые производные инструменты управления конфигурацией (например, Puppet или Chef) с агентами, вероятно, также могут делать что-то подобное.