Linux
Ubuntu 12.04 伺服器上的文件監控
我正在尋找一種簡單的方法來監視關鍵文件夾的更改以辨識 ubuntu 12.04 伺服器上的黑客行為。經過幾天閱讀不同程序的操作方法後,我有點困惑該走哪條路。到目前為止,我搜尋過的候選人是:
- 絆線
- 薩溫
- 我看
- 奧賽克
正如所寫的那樣,我需要一種非資源密集型的方式來檢查我的系統上是否發生了變化(如果是這樣,請發送電子郵件)。
除了我讀過的 4 個解決方案之外,Linux 已經讓您可以使用 Upstart 監視和通知文件更改。它已經包含在 ubuntu 中,這讓我覺得它閃閃發光。不幸的是,我找不到任何關於 Upstart 文件監控的方法。
最後但並非最不重要的一點是,我還可以想像設置一個簡單的 cronjob,它將關鍵文件夾的大小與給定的大小進行比較。
感謝您為我指明正確的方向,
托尼
雖然我們不應該做產品推薦,但這裡是我關於samhain的意見。我被要求研究整個開源市場中關於文件完整性檢查器的最佳解決方案,而 Samhain 最終成為了最好的解決方案,因為它功能豐富、開源並且積極開發。
您可以通過以下方式調整資源影響:
- 限制初始化/檢查產生的 I/O
SetIOLimit=1000
(kB/s)- 定義流程優先級以減少影響:
SetNiceLevel=19
- 使用更簡單的散列算法將減少 CPU 影響
- 僅選擇您認為在散列過程中有意義的屬性將減少包含的數據
- 僅限於您要監視的文件。
- 減少文件檢查的頻率
來源:官方文件