Dateiänderungen überwachen

1162
Luigi T.

Welches ist der beste Weg, um in einer Linux-Umgebung die Änderungen der Dateien in einer bestimmten Ordnerliste täglich zu überwachen?

Jeder Ordner hat Unterverzeichnisse, die ebenfalls überprüft werden müssen.

Im Moment verwende ich den Befehl findmit dem -mtimeParameter.

3
Git klingt nach einer guten Lösung für Ihre Bedürfnisse. schroeder vor 7 Jahren 2
Warum willst du das machen? Suchen Sie nach Änderungen und Veränderungen, die auf ein Sicherheitsproblem hinweisen? Oder ist das für die Synchronisierung? Oder etwas anderes? Dies ist möglicherweise nicht auf dem neuesten Stand, aber wenn Sie Änderungen überwachen möchten, bei denen es keine gibt, schauen Sie sich eine HIDS-Lösung an. Es gibt einige Open Source-Lösungen wie OSSEC crovers vor 7 Jahren 0
@schroeder, ich muss sogar Ordner überwachen, die nicht von git verfolgt werden, trotzdem kann git kompromittiert werden. vor 7 Jahren 0
@crovers, die Idee ist aus Sicherheitsgründen zu überwachen, also mehr Informationen, die ich haben kann, besser für diejenigen, die sich die Berichte ansehen müssen. Eine Ausgabe git-like wäre sehr nützlich. vor 7 Jahren 0
Sie könnten Ihr gesamtes Dateisystem verwenden (die offensichtlichen Verzeichnisse weglassen) - wenn Sie Anforderungen haben, müssen Sie sie in Ihre Frage aufnehmen schroeder vor 7 Jahren 1

4 Antworten auf die Frage

5
mirsad

Ich benutze gerne OSSEC, es hat viele Möglichkeiten:

OSSEC überwacht das alles und überwacht aktiv alle Aspekte der Unix-Systemaktivität mit Überwachung der Dateiintegrität, Protokollüberwachung, Rootcheck und Prozessüberwachung. Mit OSSEC wissen Sie nicht, was mit Ihren wertvollen Computersystemen passiert.

https://ossec.github.io/

0
StackzOfZtuff

Vielleicht TripWire

TripWire sagt, dass es das kann. Ich habe es nicht versucht.

Von Wiki :

Bei der ersten Initialisierung durchsucht Open Source Tripwire das Dateisystem gemäß den Anweisungen des Administrators und speichert Informationen zu jeder gescannten Datei in einer Datenbank. Zu einem späteren Zeitpunkt werden dieselben Dateien gescannt und die Ergebnisse mit den in der Datenbank gespeicherten Werten verglichen. Änderungen werden dem Benutzer gemeldet. Kryptographische Hashes werden verwendet, um Änderungen in einer Datei zu erkennen, ohne den gesamten Inhalt der Datei in der Datenbank zu speichern.

Ich weiß nicht, warum dies abgelehnt wurde, abgesehen von Ihrem Mangel an Sicherheit. TripWire ist genau das, wonach OP sucht. Ich habe es auf einer Reihe von Systemen zur Überwachung kritischer Bereiche (z. B. htdocs auf einem Webserver) verwendet. Polynomial vor 7 Jahren 0
@Polynomial: Zu viel erraten wie eine Link-Only-Antwort. * Achselzucken * StackzOfZtuff vor 7 Jahren 0
0

Wie von @StackzOfZtuff erwähnt, ist TripWire eines der empfohlenen Tools für die Verwaltung der Dateiintegrität. Es wird ein Bericht aller Änderungen für die angegebenen Verzeichnisse generiert.

http://www.tripwire.com/solutions/file-integrity-and-change-monitoring/

Eine andere Option ist das Einrichten eines Cron-Jobs auf Ihrem Computer, der mit einer bestimmten Frequenz ausgeführt wird, um alle Unterschiede in den Dateien zu analysieren.

0
gowenfawr

Tripwire trifft zu, aber die Lern-Usability-Kurve kann unfreundlich sein.

OSSEC gilt, hat jedoch weitreichendere Ziele und Implikationen als nur FIM - was eine gute Sache sein kann, eine schlechte Sache, abhängig davon, wo Sie sich befinden.

Für Punktlösungen (Server nicht Serverfarmen) bevorzuge ich AIDE . Ich denke, es ist eine viel einfachere Version von Tripwire. Je nach Verwendungszweck wird manchmal Einfachheit bevorzugt.