Poszukuje sprawdzonych rozwiązań dla dwóch typów działań:
Zapisywanie aktywności na serwerze. Do tego znalazłem fajny program "snoopy".
Niestety nie ma żadnej konfiguracji, nim o nim nie znalazłem, a program tworzy ogromne ilości danych w logach. Kilka minut i już parę MB logów, za dużo zapisuje (każde wywołanie php to już wpis).
Czego bym oczekiwał? Podobnych raportów jak w snoopy:
(obejrzałem plik), pokazujących co się działo na serwerze.
Monitorowanie zmian w plikach (ale nie mylić z systemami kontroli wersji). Chcę obserwować głównie httpd.conf i php.ini, do których jakimś cudem są doklejane śmieci. Chcę od razu dostać maila jak plik się zmieni.
Tu znalazłem auditd / systraq ale jeszcze nie udało mi się ich poprawnie skonfigurować.
Reasumując, chcę dostać maila jak zdefiniowane pliki zostaną zmienione oraz chcę mieć w logach zapis jakim cudem to zostało zmienione.
Sam możesz taki skrypt napisać, wyliczaj z niego sumę np. md5sum i sprawdzaj z poprzednim wynikiem. A tak w ogóle to zapomniałem dodać w innym temacie, ale ja bym na zaporze skorzystał z modułu string i zablokował wszystko co zawiera /bin/sh, czy bash i php.ini.
Można tez się pokusić o Snorta, wywalić wszystkie reguły i wpisać tylko swoje, jeszcze jak wyłączy się niepotrzebne moduły to nie powinien tak dużo zżerać zasobów.
VMLine dziękuję! Monita nie znałem, logiczna składnia, niezłe możliwości, super. Zainstalowałem, działa, śle monity. No to jeden problem z głowy.
Została ta druga kwestia - jak już dostanę informację, że plik został zmieniony to przydałby się log kto i w jaki sposób tego dokonał. Snoopy byłby idealny gdyby nie logowanie wszystkiego jak popadnie. A w docu nie znalazłem nic o wyłączeniach lub obserwowaniu tylko zdefiniowanych plików.
