Ho una suite per il monitoraggio dell'integrità dei file e in essa devo selezionare specifici file e cartelle da monitorare. Ci sono alcuni servizi ovvi che voglio monitorare come il nostro web-server.
Esiste un elenco di file OS importanti (windows / linux) che devono essere monitorati (secondo le migliori pratiche)? Conosco Linux, ma non con Windows, quindi non riesco a trovare i file binari e / oi file di configurazione da monitorare come best practice.
Dovresti monitorare (quasi) tutti i file.
Supponendo che questo sistema sia solo un database hash, allora ci sono alcuni file da saltare:
(il bit difficile è l'impostazione di un processo per il controllo corretto delle modifiche)
Non sei sicuro del sistema di monitoraggio dell'integrità dei file che stai utilizzando, ma la maggior parte dei sistemi di monitoraggio dell'integrità dei file commerciali come Verisys e Tripwire può essere configurato per "automaticamente" monitorare i file pertinenti.
Ad esempio, dici che stai utilizzando Windows Server 2008 e Microsoft SQL Server 2008, quindi monitorano i file e le voci di registro applicabili.
Per la piattaforma Windows, microsoft fornisce l'utilità sfc . Controllerà l'integrità di tutti i file di sistema o selezionati e li riparerà se necessario. Puoi controllarne le opzioni digitando il prompt dei comandi: sfc /?
C'è un monitor di integrità del file open source chiamato Mugsy fornito con un elenco di importanti directory da monitorare per Linux:
- /boot
- /lib
- /lib64
- /sys
- /bin
- /sbin
- /usr/bin
- /usr/sbin
- /usr/local/bin
- /usr/local/etc
- /usr/local/sbin
- /etc
Sono lo sviluppatore di Mugsy, una spina così spudorata.
Sono d'accordo sul fatto che i file tutti dovrebbero essere monitorati, ma può essere difficile da gestire, quindi dovresti almeno iniziare il monitoraggio da qualche parte. Spero che possiamo collaborare a un elenco standard di cosa monitorare per Linux e Windows o un elenco di cosa escludere, ad es. file temporanei che cambiano spesso.
Inoltre, Mugsy è specifico per Linux, ma potrebbe essere creato per Windows.
Parlando come un venditore, ci viene sempre chiesto: ovviamente vuoi tenere traccia del maggior numero di filesystem possibile per ottenere la migliore visibilità delle modifiche, ma più tieni traccia, più cambia il rumore è probabile che tu abbia Collaboriamo con il Centro per la sicurezza di Internet e puoi utilizzare qualsiasi guida di configurazione sicura Benchmark per stabilire il modo migliore per configurare il tuo host linux o windows per la massima protezione. Tutti questi file / impostazioni di registro dovrebbero essere tutti tracciati per le modifiche.
Poi ci sono i file di programma e di sistema. Questo diventa più difficile perché ci sono molti file che cambieranno regolarmente durante il normale funzionamento, ad esempio i file di registro. Quindi hai davvero bisogno di capire bene come si comportano le tue applicazioni in termini di attività del filesystem.
L'elenco dei file Linux qui sopra è un buon punto di partenza e sul nostro sito web c'è un elenco più lungo di percorsi / file, sebbene si tenga presente che il monitoraggio dell'output dei comandi diventa più importante su piattaforme come Ubuntu (password policy, per esempio).
Leggi altre domande sui tag windows linux monitoring integrity