Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://www.debian.pl/

https://www.debian.pl/viewtopic.php?t=23281

Strona 1 z 1

Śledzenie zmian i aktywności systemu - raportowanie.

: 04 czerwca 2011, 15:27
autor: ubunciak
Poszukuje sprawdzonych rozwiązań dla dwóch typów działań:
  1. Zapisywanie aktywności na serwerze. Do tego znalazłem fajny program "snoopy".
    Niestety nie ma żadnej konfiguracji, nim o nim nie znalazłem, a program tworzy ogromne ilości danych w logach. Kilka minut i już parę MB logów, za dużo zapisuje (każde wywołanie php to już wpis).

    Czego bym oczekiwał? Podobnych raportów jak w snoopy:

    Kod: Zaznacz cały

    Jun 4 15:17:25 s5 snoopy[22079]: [root, uid:0 sid:14707]: file -L /var/log/auth.log
    (obejrzałem plik), pokazujących co się działo na serwerze.
  2. Monitorowanie zmian w plikach (ale nie mylić z systemami kontroli wersji). Chcę obserwować głównie httpd.conf i php.ini, do których jakimś cudem są doklejane śmieci. Chcę od razu dostać maila jak plik się zmieni.
Tu znalazłem auditd / systraq ale jeszcze nie udało mi się ich poprawnie skonfigurować.

Reasumując, chcę dostać maila jak zdefiniowane pliki zostaną zmienione oraz chcę mieć w logach zapis jakim cudem to zostało zmienione.

: 04 czerwca 2011, 16:18
autor: grzesiek
Sam możesz taki skrypt napisać, wyliczaj z niego sumę np. md5sum i sprawdzaj z poprzednim wynikiem. A tak w ogóle to zapomniałem dodać w innym temacie, ale ja bym na zaporze skorzystał z modułu string i zablokował wszystko co zawiera /bin/sh, czy bash i php.ini.
Można tez się pokusić o Snorta, wywalić wszystkie reguły i wpisać tylko swoje, jeszcze jak wyłączy się niepotrzebne moduły to nie powinien tak dużo zżerać zasobów.

: 04 czerwca 2011, 16:25
autor: ubunciak
Jakbym umiał sam to pewnie bym napisał. Wolę jednak zainstalować i uruchomić od ręki a nie siedzieć całymi dniami nad czymś takim.

Audit i systraq wydają się być w porządku choć ich podręczniki systemowe są mało przyjazne. Jeszcze z nimi powalczę.

: 05 czerwca 2011, 13:09
autor: VMLine
Polecam program monit - http://mmonit.com/monit/ - obsługuje również kontrolę plików.

: 05 czerwca 2011, 14:08
autor: Bastian
http://sectools.org/ids.html

Polecam Snorta lub OSSEC HIDS

: 05 czerwca 2011, 17:16
autor: ubunciak
VMLine dziękuję! Monita nie znałem, logiczna składnia, niezłe możliwości, super. Zainstalowałem, działa, śle monity. No to jeden problem z głowy.

Została ta druga kwestia - jak już dostanę informację, że plik został zmieniony to przydałby się log kto i w jaki sposób tego dokonał. Snoopy byłby idealny gdyby nie logowanie wszystkiego jak popadnie. A w docu nie znalazłem nic o wyłączeniach lub obserwowaniu tylko zdefiniowanych plików.
Strefa czasowa UTC+02:00
Strona 1 z 1

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl