我的问题类似于找出哪个进程正在改变一个文件 ,但我需要更多的东西。 inotify只告诉一个文件上的less数事件,Auditd也只是给我们做了一些文件的pid。 但是我需要知道更多关于更改的更多细节,例如过程实际上做了什么,例如添加或删除文件的内容,添加新文件然后添加该文件,如果权限被谁改变,以及什么之前/之后的权限等
总之,有没有其他的不足之处? 我也正在使用OSSEC,但是需要知道是否有更好的东西可用。
你可以使用Monit的服务testing来一起安装 。 无论是文件内容还是校验和testing。
否则,你在寻找像Tripwire这样更全面的东西吗? 虽然有一个免费的变种,这听起来像你有兴趣在一个完整的审计解决scheme。 Tripwire的文件完整性监视器可以满足您的要求。
也许SAMHAIN也…
现在是否有OSSEC解决scheme的特定问题?
你会结合incron和git吗? incron会注意到文件/目录的变化,然后立即将文件提交到一个Git仓库。 这样你至less可以看到变化。
ausearch提供了关于谁更改了文件的详细信息,使用了哪个命令,文件权限是什么等等。