Мы искали простое решение для мониторинга целостности файлов в CentOS / Linux, которое будет работать на уровне приложений. Мы не ищем IDS на уровне ОС / сети, поскольку OSSEC и другие неплохо справляются с этим.
Мы рассмотрели централизованные (OSSEC) и нецентрализованные (Tripwire Open Source), однако каждый из них имеет свои ограничения в отношении файловых ограничений и рекурсивного мониторинга тысяч файлов / каталогов.
По сути, у нас есть тысячи файлов php / cgi / pl, которые мы хотели бы отслеживать на предмет изменений / инъекций. Проблема в том, что все они находятся в каталогах, которые могут содержать файлы других типов и другие объекты, которые меняются. Проверка целостности каталога не является вариантом, поскольку каталог может измениться, но не файлы, которые мы хотим отслеживать.
Есть ли программное обеспечение, которое может принимать команду «найти» для получения списка файлов, помещает этот список файлов в базу данных с контрольной суммой md5 для каждого файла, а затем при следующем запуске сопоставляет файл списка файлов по файлу и предупреждает о каких-либо изменениях контрольных сумм md5 и новых файлов?
Возможно, вы можете попробовать AIDE (http://aide.sourceforge.net/) и создайте правило, которое будет отслеживать только файлы * php / cgi / pl.
Проверять, выписываться Mugsy. Вы можете отслеживать определенные каталоги, но исключить определенные шаблоны. Он ведет журнал как локально, так и в elasticsearch.
Наиболее системы контроля целостности файлов должен иметь возможность делать это, создавая «заведомо исправный» базовый снимок, по которому впоследствии проверяются файлы.
Вы уже упомянули системы с открытым исходным кодом OSSEC и Tripwire, но есть и несколько коммерческих вариантов, которые, как правило, имеют лучший пользовательский интерфейс, их намного проще настраивать и поставляются с центральной консолью управления. Один из таких вариантов - Verisys, что позволит вам указать шаблоны для включения и исключения файлов. Некоторая информация из руководства пользователя Вот.
Вы можете использовать auditd (пользовательское пространство) - создавать правила, централизовать сообщения и фильтровать журналы событий в соответствии с вашими потребностями. Он не будет проверять целостность, но будет отслеживать изменения. Если вы используете собственные сервисы, то написать утилиту проверки целостности будет несложно.
Кстати. Правила регулярного выражения для имен файлов не поддерживаются OSSEC для проверки целостности файлов? О_о