Иногда необходимо отслеживать файловую систему на правки.
Например дабы видеть деятельность руткитов. Под эту задачу есть много тулз. Тот же Inotify. Но к сожалению он не показывает изменение checksum.
Поэтому я выбрал AIDE (Advanced Intrusion Detection Environment)
Суть системы – она создаёт свою базу данных директорий и файлов, и периодически отслеживает изменения в них.
Установка и настройка очень проста. Конф.файл находится по адресу /etc/aide.conf
Ставим на убунту/дебиан:
http://packages.qa.debian.org/a/aide.html
Например дабы видеть деятельность руткитов. Под эту задачу есть много тулз. Тот же Inotify. Но к сожалению он не показывает изменение checksum.
Поэтому я выбрал AIDE (Advanced Intrusion Detection Environment)
Суть системы – она создаёт свою базу данных директорий и файлов, и периодически отслеживает изменения в них.
Установка и настройка очень проста. Конф.файл находится по адресу /etc/aide.conf
Ставим на убунту/дебиан:
Код:
apt-get install aide or aptitude install aide