Я использую OSSEC HIDS
для мониторинга изменений файловой системы. OSSEC проверяет следующие каталоги: /etc, /bin, /sbin, /usr/bin, /usr/sbin, /boot.
Когда происходит автоматическое обновление системы, OSSEC отправляет по электронной почте предупреждение о том, что установлен новый пакет dpkg (Правило 2902: «Установлен новый dpkg (пакет Debian)».). В этом случае, чтобы убедиться, что это изменение было связано с законным обновлением, я могу проверить /var/log/dpkg.log
или /var/log/apt/history.log
и найти любой пакет, который, по сообщениям OSSEC, был установлен.
Received From: daffyduck->/var/log/dpkg.log
Rule: 2902 fired (level 7) -> "New dpkg (Debian Package) installed."
Portion of the log(s):
2019-10-25 15:24:40 status installed libc-bin:amd64 2.27-3ubuntu1
Когда файл добавляется в один из каталогов, которые отслеживает OSSEC, запускается rule 554
и мне снова отправляется уведомление по электронной почте. Например, я получил два оповещения, одно из-за того, что определенное количество файлов было добавлено в каталог /boot
, второе из-за аналогичных изменений в каталоге /etc
. Например:
Received From: daffyduck->syscheck
Rule: 554 fired (level 7) -> "File added to the system."
Portion of the log(s):
New file '/boot/grub/i386-pc/sfs.mod' added to the file system.
Или, для каталога /etc
:
Received From: daffyduck->syscheck
Rule: 554 fired (level 7) -> "File added to the system."
Portion of the log(s):
New file '/etc/magic.mime' added to the file system.
syscheck
- это имя процесса проверки целостности внутри OSSEC. Как я могу проверить, были ли эти изменения законными (внесены системой)? К какому файлу журнала я должен обращаться?