strumento simile a quello di rancido per i file di configurazione [chiuso]

2

Devo essere in grado di vedere le directory sui nostri server e tenere traccia delle modifiche ai file come parte della nostra conformità alle verifiche. Ho modificato auditd per vedere le directory e inviare tutte le scritture e le modifiche agli attributi a syslog (che inoltra immediatamente al mio server splunk)

questo è utile, mostra chi ha cambiato un file, ma in realtà non mostra ciò che è stato cambiato. Se faccio un "vi app.conf" e apporto una modifica, mostrerò semplicemente che ho scritto il file.

Ho esaminato brevemente sia AIDE che etckeeper, ma ho bisogno di tenere traccia di circa 2 dozzine di server, e questo sembra piuttosto manuale.

Per le mie apparecchiature di rete, Rancid è stato fantastico, con le sue email automatiche di Diff's. (in realtà ha salvato il nostro bacon più di una volta)

Esiste qualcosa come uno strumento rancido per Linux per monitorare le directory da remoto?

    
posta Brian 05.04.2013 - 00:09
fonte

3 risposte

1

Mentre utilizzi Splunk, dai un'occhiata a FSChange . È stato deprecato in Splunk 5 (anche se è ancora lì), ma potrebbe fare quello che vuoi.

Un'alternativa a FSChange potrebbe essere qualcosa come il Samhain il monitoraggio dell'integrità dei file, accoppiato a Splunk.

    
risposta data 05.04.2013 - 19:43
fonte
0

Per quanto ne so, auditd non può essere configurato per catturare il contenuto del file. Probabilmente non lo vorresti comunque a causa di un calo delle prestazioni. Quindi è necessario creare una linea di base a cui confrontare il contenuto modificato e originale.

Se ciò che si sta verificando è un insieme di dati molto piccolo, si può semplicemente usare un backup frequente (o un filesystem istantaneo su SAN o qualcosa del genere) come versione di riferimento e fare le differenze manuali. Sembra, tuttavia, che tu stia cercando di evitare soluzioni manuali.

Quello che sembra che stiate cercando è File Integrity Monitoring, proprio come @Michael menziona. Questi fondamentalmente eseguono una scansione di base e monitorano (un insieme configurabile di) cambiamenti in un insieme definito di dati. Dico configurabile, perché puoi includere o escludere il contenuto del file dalla scansione; è tutto basato sulla politica. Come suggerisce il nome, lo scopo è monitorare l' integrità di un sistema, non necessariamente il contenuto dei dati. In questo modo controllerai generalmente i file di configurazione dell'applicazione e il codice compilato, i file critici del sistema operativo, ecc. Per assicurarti che il sistema non sia stato compromesso. Questi possono essere utilizzati anche per dispositivi di rete e database e applicazioni popolari. I dispositivi di rete sono facili perché l'intera configurazione è in un singolo file (o comunque un ingombro ridotto).

Usiamo Tripwire nel mio negozio, dove abbiamo una grande quantità di conformità da gestire, ma ce ne sono altri: link

Le soluzioni FIM generalmente invieranno avvisi e report per aiutare ad automatizzare la parte di monitoraggio. Avranno anche compatibilità o partnership con altre soluzioni da integrare con le soluzioni SIEM, anche Splunk !. Se hai molto monitoraggio da fare, passerai tutto il tempo a esaminare i registri. Quindi, in sostanza, "la sicurezza è difficile" ;-) Queste cose sono scalabili e multipiattaforma e sono disponibili in forme agent e agentless. Probabilmente non sei l'unico con tali bisogni nella tua organizzazione. Qualsiasi spesa (e potrebbe essere inferiore a quanto penseresti) può probabilmente essere condivisa per garantire più della semplice applicazione.

    
risposta data 06.04.2013 - 04:15
fonte
0

Hai preso in considerazione TripWire?

link

Versione OpenSource: link

Sembra che potrebbe essere in grado di fare ciò che desideri, ma l'ho usato solo per avvisi di base come "avviso se qualcosa cambia".

    
risposta data 06.04.2013 - 08:13
fonte

Leggi altre domande sui tag