Todo, He estado buscando en Google diferentes guías sobre qué archivos monitorear que las personas editarían con fines maliciosos. En mis lecturas hasta ahora, he encontrado los archivos comunes que la gente edita. Hasta ahora he encontrado:
¿Qué otros archivos monitorean activamente y por qué?
Gracias de antemano! -tsnm
Su mejor apuesta es instalar un HIPS (aplicación de prevención de intrusión de host) como Samhain o < a href="http://en.wikipedia.org/wiki/Advanced_Intrusion_Detection_Environment"> AIDE . Hay demasiados archivos para monitorear y un atacante puede (y generalmente lo hará) intentar modificar lo que pueda. Por no mencionar que hay muchas personas que juegan / juegan con los virus Linux / BSD / OSX, exploits y pruebas de conceptos
EDITADO PARA UNA EXPLICACIÓN DE QUÉ MONITOR Y POR QUÉ
Cada sistema difiere, uno puede seguir pautas, líneas de base, pero al final del día, la importancia de qué monitorear a discreción del administrador de sistemas, el custodio de datos y un rango de otras personas, o simplemente una persona. En cualquier sistema en el que haya sido administrador, es mi función mantener ese sistema. Prefiero saber todo lo que pueda sobre todo el sistema.
Cuando instalo Host Based Intrusion Prevention, elijo monitorear todo, EXCEPTO los archivos de registro. Los archivos de registro cambian, por lo tanto generarían muchos falsos positivos. Como atacante / pentester, soy consciente de que muchos profesionales que han seguido las mejores prácticas y pautas tienden a enfocarse en lo que perciben (basado en el riesgo) como importante. Esto usualmente (y en su mayoría SOLAMENTE) incluirá directorios donde se instalan los binarios. Bajo Linux / BSD / Solaris:
/bin/
/sbin/
/usr/sbin/
/usr/bin/
/usr/local/bin/
/usr/local/sbin/
/opt/bin/
/opt/sbin/
/etc/
Estos no son los únicos lugares para almacenar archivos, ocultar programas, etc. Por ejemplo, sabiendo que estos son los " sospechosos habituales " que están siendo monitoreados, no tengo tiempo como un atacante metiendo algo en / usr / lib, / usr / share, / tmp, etc. Estos archivos no se detectarán porque ninguna aplicación está observando lo que está ocurriendo.
El tiempo y el espacio para monitorear estos archivos / directorios es mínimo. Prefiero estar a salvo que lamentarlo. Puede haber falsos positivos inicialmente, pero aquí es donde se pueden analizar cuáles son las alertas legítimas y cuáles no, construir desde allí.
Lea otras preguntas en las etiquetas linux monitoring