Surveillance intégrale de l'intégrité du file de niveau d'application et détection d'intrusion (IDS)

Nous recherchons une solution simple de surveillance de l'intégrité des files sur CentOS / Linux qui fonctionnera au niveau de l'application. Nous ne cherchons pas d'IDS de niveau OS / réseau comme OSSEC et les autres font un très bon travail à ce sujet.

Nous avons examiné centralisé (OSSEC) et non centralisé (Tripwire Open Source), mais ils ont chacun leur limitation en ce qui concerne les ressortingctions de files et la surveillance récursive de milliers de files / directorys.

Essentiellement, nous avons des milliers de files php / cgi / pl que nous aimerions surveiller pour les modifications / injections. Le problème, c'est qu'ils sont tous dans des directorys qui peuvent contenir d'autres types de files et d'autres choses qui changent. La vérification de l'intégrité de l'annuaire n'est pas une option car le directory peut modifier, mais pas les files qui nous intéressent.

Existe-t-il un logiciel là-bas qui peut prendre une command «find» pour get une list de files, place cette list de files dans une database avec une sum de contrôle md5 pour chaque file, puis, lors de la prochaine exécution, il correspond au file de la list de files par file et alertes de toute modification des sums de contrôle md5 et de nouveaux files?

Vous pouvez utiliser auditd (espace user) – créer des règles, centraliser les messages et filterr les journaux d'events en fonction de vos besoins. Il ne vérifiera pas l'intégrité, mais surveillera les changements. Si vous utilisez des services personnalisés, il ne serait pas difficile d'écrire un utilitaire de vérification d'intégrité.

BTW. Les règles de regexp pour les noms de files ne sont pas sockets en charge par OSSEC pour la vérification de l'intégrité du file? O_o

Peut-être que vous pouvez essayer AIDE ( http://aide.sourceforge.net/ ) et créer une règle qui ne surveillera que les files * php / cgi / pl.

Découvrez Mugsy . Vous pouvez surveiller des directorys spécifiques, mais excluez certains templates. Il se connecte localement ainsi qu'à la search élastique.

La plupart des systèmes de surveillance de l'intégrité des files devraient être en mesure de le faire, en créant un instantané de base de base «bien connu» sur lequel les files sont vérifiés plus tard.

Vous avez déjà mentionné les systèmes open source OSSEC et Tripwire, mais il existe aussi quelques options commerciales – qui disposeront généralement d'une meilleure interface user, seront beaucoup plus faciles à configurer et disposeront d'une console de gestion centrale. Une telle option est Verisys , ce qui vous permettra de spécifier des templates pour les files à inclure et à exclure. Quelques informations du guide de l'user ici .