シンプルなアプリケーションレベルのファイル整合性監視と侵入検知(IDS)
私たちは、アプリケーションレベルで機能するCentOS/Linux上のシンプルなファイル整合性監視ソリューションを探していました。 OSSECや他の人たちがそれでかなり良い仕事をしているので、私たちはOS /ネットワークレベルのIDSを探していません。
集中型(OSSEC)と非集中型(Tripwire Open Source)について見てきましたが、それぞれファイルの制限と数千のファイル/ディレクトリの再帰的な監視に関して制限があります。
基本的に、変更/インジェクションを監視したいphp/cgi/plファイルが何千もあります。問題は、それらがすべて、他のファイルタイプや変更される他のものを含む可能性のあるディレクトリにあることです。ディレクトリは変更される可能性がありますが、監視対象のファイルは変更されないため、ディレクトリの整合性チェックはオプションではありません。
'find'コマンドを使用してファイルリストを取得し、このファイルリストを各ファイルのmd5チェックサムを使用してデータベースに配置し、次回の実行時にファイルリストファイルをファイルごとに照合してアラートを表示できるソフトウェアはありますか? md5チェックサムと新しいファイルへの変更はありますか?
おそらく、AIDE( http://aide.sourceforge.net/ )を試して、* php/cgi/plファイルのみを監視するルールを作成できます。
Auditd(ユーザースペース)を使用できます-ルールを作成し、メッセージを一元化し、必要に応じてイベントログをフィルタリングします。整合性はチェックされませんが、変更を監視します。カスタムサービスを実行している場合は、整合性チェックユーティリティを作成するのは難しくありません。
ところで。ファイル名の正規表現ルールは、ファイルの整合性チェックのためにOSSECでサポートされていませんか? O_o
チェックアウト Mugsy 。特定のディレクトリを監視できますが、特定のパターンを除外できます。ローカルおよびelasticsearchにログを記録します。
ほとんどの ファイル整合性監視システム はこれを実行できるはずであり、ファイルが後でチェックされる「正常な」ベースラインスナップショットを作成します。
オープンソースシステムについてはすでに説明しました [〜#〜] ossec [〜#〜] とTripwireですが、いくつかの商用オプションもあります-通常、より優れたユーザーインターフェイスを備えています。構成が簡単で、中央管理コンソールが付属しています。そのようなオプションの1つは Verisys です。これにより、含めるファイルと除外するファイルのパターンを指定できます。ユーザーガイドからのいくつかの情報 ここ 。