GNU/Linux >> Tutoriales Linux >  >> Linux

¿Cuáles son los archivos más comunes para verificar con el software de monitoreo de integridad de archivos?

Debe monitorear (casi) todo los archivos.

Suponiendo que este sistema es solo una base de datos hash, hay algunos archivos que debe omitir:

  • todo en /proc (sin embargo, hay muchas cosas útiles aquí para los cazadores de rootkits)
  • archivos de registro (hay herramientas que harán un análisis heurístico de estos archivos)
  • archivos que contienen sistemas de archivos (esto incluiría sistemas de archivos de bucle invertido y archivos de bases de datos, pero probablemente desee verificar los 'archivos' dentro del archivo).
  • intercambiar espacio

(lo difícil es configurar un proceso para auditar los cambios correctamente)


No estoy seguro de qué sistema de monitoreo de integridad de archivos está utilizando, pero la mayoría de los sistemas comerciales de monitoreo de integridad de archivos, como Verisys y Tripwire, se pueden configurar para monitorear 'automáticamente' los archivos relevantes.

Por ejemplo, les dice que está ejecutando Windows Server 2008 y Microsoft SQL Server 2008, y luego supervisan los archivos y las entradas de registro correspondientes.


Linux
  1. Cómo verificar la integridad de un archivo con md5 checksum

  2. ¿Cuáles son las diferencias entre grep, awk y sed?

  3. ¿Cuál es la limitación máxima de archivos abiertos en Linux?

  4. ¿Cuáles son las diferencias entre lsof y netstat en Linux?

  5. ¿Cuáles son las diferentes formas de establecer permisos de archivo, etc. en gnu/linux?

Manera fácil de fusionar archivos con el comando Cat

¿Cuáles son los usos legítimos del comando "tocar"?

Cómo encontrar archivos con docenas de criterios con el comando Bash Find

¿Qué son los archivos dispersos en Linux?

¿Cuál es el comando más confiable para encontrar el tamaño real de un archivo de Linux?

¿Qué comandos están disponibles en la sección %pre de un archivo Kickstart en CentOS?