Tob*_*orn 19 security linux rootkit git
我正在考虑使用 git 将我的整个 linux 服务器置于版本控制之下。其背后的原因是这可能是检测恶意修改/rootkit 的最简单方法。我天真地认为检查系统的完整性是必要的:每周使用救援系统挂载 linux 分区,检查 git 存储库是否仍然未调整,然后发出 git status 以检测对系统所做的任何更改.
除了明显的磁盘空间浪费外,还有其他负面影响吗?
这是一个完全疯狂的想法吗?
它甚至是检查 rootkit 的安全方法,因为我很可能至少必须排除 /dev 和 /proc 吗?
Sir*_*rex 16
这是一个“坏主意”(tm)。除此之外,您的存储库将运行缓慢,并且随着每个修订版的保留而变得更糟。
尝试集中管理,例如 puppet/cfengine/chef。这将使事情如您所愿,并恢复意外的变化。
将它与 iwatch 之类的东西结合起来,以获取未经授权的文件更改的电子邮件。
如果需要推出自定义应用程序,请将其与 rpm/deb 文件进一步结合。
不时加入 rkhunter 或 chkrootkit 之类的东西,你应该很高兴。
任务完成。
另一种选择是设置tripwire,它是 GPL 协议的软件,它可以搜索系统上的所有重要文件,并确定哪些以您定义为不可接受的方式发生了变化。更改可以简单地定义为 mtime,通过 inode 编号,一直到加密强校验和。
如果您不想每晚都收到大量有关 中更改的文件/var/run、 中 DHCP 客户端文件中的更改等的报告,则需要进行一些设置和调整/etc,但是如果您确实遇到了麻烦,则可能确实很有帮助。
文件属性的数据库与密钥签名不知道的机器,它可以帮助您有信心,没有工具已恶意篡改数据库或绊线的二进制文件。为了完全确定,您可以将 tripwire 工具和数据库的副本刻录到只读介质上,该介质可以安装在服务器上并用于验证自光盘刻录以来的所有更改,如果需要进行完整的取证分析。
如果您打算这样做,在将机器部署到生产环境之前设置并运行tripwire 非常重要,否则您永远无法完全确定某些恶意用户在此之前没有机会感染机器被绊倒了。