esiste un modo poco dettagliato per registrare ogni nuovo file creato su un host Linux?

Inotify monitora individualmente le directory. Per monitorare un albero di directory, devi monitorare ciascuna sottodirectory e da allegare a nuove sottodirectory quando vengono aggiunte. Sono sicuro che sia possibile farlo senza condizioni di gara.

Se vuoi registrare i file che sono stati creati in una directory, ci sono modi migliori. Puoi mettere i file da guardare su un filesystem loggedfs , che implementa il logging in userland. In alternativa, puoi utilizzare la funzione verifica del kernel. Vedi link per ulteriori informazioni tecniche.

Non ho esperienza pratica con entrambi i metodi in produzione, ma dubito che il consumo di RAM sia significativo in entrambi i casi. C'è un overhead più grande con il metodo loggfs che potrebbe essere significativo per i file che vengono letti molto spesso ma modificati solo occasionalmente, perché pagherai il sovraccarico per tutti gli accessi, non solo per le scritture. Inoltre, il metodo logsfs crea una visualizzazione shadow dei file e, se sei preoccupato per il malware, potrebbe ignorare la vista shadow e accedere direttamente alla vista originale non monitorata. Quindi per il tuo caso l'audit del caso è più appropriato.

La regola è qualcosa come (non testata)

auditctl -a exit,always -F path=/var/www -p w

Questo ti dà la registrazione in tempo reale, che può o non può essere utile. Ho il sospetto che le informazioni dettagliate sarebbero utili per la scientifica, ma non tanto per gli avvisi, perché avresti troppi dettagli da esaminare, ma ciò dipende in realtà dai modelli di cambiamento. Esistono programmi che elencano i file su richiesta e riportano le modifiche dall'ultima esecuzione, ad esempio AIDE e Tripwire . Si inseriscono nella classe generale dei sistemi di rilevamento delle intrusioni , e sicuramente esiste un software più avanzato, ma questo non è un argomento che conosco.