在RHEL5安全指南中,build议使用AIDE来检查软件完整性。 并且还内置了RPM完整性检查function。 但是频繁的检查可能会对资源要求很高,而且很less有用处。 另一方面,关键部分的不断审计相对便宜。 它在一定程度上仍然保证完整性。
所以基本上我的问题是:在哪种情况下,完整性检查(AIDE,RPM或新的东西)比审计更好?
UPD:只是澄清一点。 我所说的“审计”是指基于特定的auditd守护进程的RHEL审计服务。 它可以适当调整,不断监督文件和目录。 要失败一个完整性检查,文件应该以某种方式修改,这将由审计系统logging。 那么为什么还要考虑后果(比如校验和失败)呢,我们可以追溯这种修改的原因吗?
我不知道这个问题是否可以有意义地回答,虽然我不太确定是否投票结束。
但是我认为,在任何成本效益分析中,你都不能忘记这样的好处 :在这种情况下, 避免了失败的代价 。 你说频繁检查可能是“资源要求”,这可能是这样的:但是如何资源需求重build从黄金备份您的后端基础设施,因为一些入侵发生?
就完整性和function而言,花费多less钱来保护系统是系统价值的一个function。 对于我自己来说, 任何会暴露在互联网上的机器都会每天进行tripwire检查,并通过电子邮件报告。 几乎所有的syslog到一个集中的日志主机,离线系统; 入侵者在途中可能产生的任何脚印都不能从远程系统日志中删除。 更敏感的机器也可能会得到RPM完整性检查,启用selinux (运行非标准软件时所带来的所有可怕的麻烦),从只读介质运行的tripwire以及更完整的保护。 这完全取决于机器的价值。
编辑 :我不明白,你的意思是审计软件服务,而不是审计的一般概念,这是真的,但即使我的答案是一样的: 纵深防御 ,深度合理的价值资产。 如果有一个单一的,简单的,廉价的,绝对可靠的complete-securityd服务,我们都会运行它。 因为没有,所采取的预防措施越多,妥协的可能性越小,(b)发生时不会被发现。
由于您询问auditd可能会错过的内容以及tripwire可能捕获的入侵types,因此定制的内核模块的利用就是这样,因为tripwire可以从只读介质和内核运行,而auditd则不能。