herramienta similar a rancio para archivos de configuración [cerrado]

Navega tus respuestas
2

Necesito poder ver los directorios en nuestros servidores y hacer un seguimiento de los cambios en los archivos como parte de nuestro cumplimiento de auditoría. He ajustado auditd para ver los directorios y enviar todas las escrituras y cambios de atributos a syslog (que se reenvía inmediatamente a mi servidor Splunk)

esto es útil, muestra quién cambió un archivo, pero en realidad no muestra lo que se cambió. Si hago un "vi app.conf" y hago un cambio, solo mostrará que escribí el archivo.

He analizado brevemente AIDE y etckeeper, pero necesito rastrear alrededor de 2 docenas de servidores, y eso parece más bien manual.

Para mi equipo de red, Rancid ha sido increíble, con sus correos electrónicos automáticos de Diff's. (en realidad salvó nuestro tocino más de una vez también)

¿Existe tal cosa como una herramienta similar a Rancid para que Linux controle los directorios de forma remota?

    
pregunta Brian 05.04.2013 - 00:09
fuente

3 respuestas

1

Mientras utiliza Splunk, consulte FSChange . Ha sido en desuso en Splunk 5 (aunque todavía está allí), pero podría hacer lo que quieras.

Una alternativa a FSChange podría ser algo como la vigilancia de integridad de archivos de Samhain , junto con Splunk.

    
respondido por el Michael 05.04.2013 - 19:43
fuente
0

Por lo que sé, auditd no se puede configurar para capturar el contenido del archivo. Probablemente no querrás hacerlo de todos modos debido al impacto en el rendimiento. Por lo tanto, debe crear una línea de base para comparar el contenido modificado y el original.

Si lo que está auditando es un conjunto muy pequeño de datos, simplemente puede usar una copia de seguridad frecuente (o un sistema de archivos de instantáneas en SAN o algo así) como su versión de referencia y hacer diferencias manuales. Parece, sin embargo, que está tratando de evitar soluciones manuales.

Lo que parece que estás buscando es Monitoreo de integridad de archivos, tal como lo menciona @Michael. Básicamente, estos ejecutan un escaneo de línea de base y monitorean (un conjunto configurable de) cambios a un conjunto definido de datos. Digo configurable, porque puede incluir o excluir el contenido del archivo de la exploración; Es todo basado en la política. Como su nombre lo indica, el propósito es monitorear la integridad de un sistema, no necesariamente el contenido de los datos. Por lo tanto, generalmente supervisará los archivos de configuración de la aplicación y el código compilado, los archivos críticos del sistema operativo, etc. para garantizar que el sistema no se haya comprometido. También se pueden usar para dispositivos de red, bases de datos y aplicaciones populares. Los dispositivos de red son fáciles porque la configuración completa está en un solo archivo (o una pequeña huella de todos modos).

Usamos Tripwire en mi tienda, donde tenemos que hacer frente a un gran cumplimiento, pero hay otros: enlace

Las soluciones FIM generalmente enviarán alertas e informes para ayudar a automatizar la parte de monitoreo. También tendrán compatibilidad o asociaciones con otras soluciones para integrarse con las soluciones SIEM, ¡incluso Splunk !. Si tiene mucho que hacer, entonces pasará todo el tiempo revisando los registros. Entonces, básicamente, "la seguridad es difícil" ;-) Estas cosas son escalables y multiplataforma y vienen en forma de agente y sin agente. Probablemente no eres el único con tales necesidades en tu organización. Cualquier gasto (y podría ser menos de lo que cree) puede compartirse para asegurar más que solo su aplicación.

    
respondido por el Mike 06.04.2013 - 04:15
fuente
0

¿Has considerado TripWire?

enlace

Versión de OpenSource: enlace

Parece que podría hacer lo que estás buscando, pero solo lo he usado para alertas básicas como "alertar si algo cambia".

    
respondido por el Scone 06.04.2013 - 08:13
fuente

Lea otras preguntas en las etiquetas

Inundación de mensajes TCP / IP SIP COMUNITARIOS dirigida al proxy SIP Identificar un script extraño de Perl CGI