Мониторинг активности на серверах

Tripwire и многие его подобия.
В простейшем случае - rpm.

Нужна динамика, чтоб допустим раз в минуту проверялись нужные мне
файлы.
Tripewire насколько я понимаю расчитан на эпизодические проверки :(
ИМХО можно отключить его запуск - админ и не почухается :((

Кроме того хотелось бы именно единый комплекс ...

Tripwire пускается в cron.
Если сервер сломан, хакер имеет возможность остановить что
угодно...

Пускай каждую минуту rpm - это меньше занимает ресурсов...
Но вообще тот факт, что tripwire не отработал -
служит сигналом - "сервер сломан"...

Что еще надо? ;)

Слежение за изменением файловой системы в динамике
требует изрядного количества ресурсов...

Разве что подправить close() и open(), но сейчас мне в голову что-то
не приходит, что бы так где-то делалось...

Крон не подходит - я на месте какера первым делом туда б полез.
Нуно именно демон, ведь в проге можно перехватить kill -9 и перед смертью
оповетить родных.
А результат работы tripware, имхо, подделать не проблема :(
---
Я сейчас изучаю решение этой задачи с друго конца. Я наткнулся на пачт
http://www.lids.org/ Возможно его применение снимет часть проблем без
высоких накладных расходов ...
Его фичи:
- Protection of files, No one including
root can modify the lids-protected files.
File can be hidden.
- Protection of process, No one
including root can kill the protected
process. Process can be hidden.
- Fine-granulate Access Control with
ACLs.
- Use and extend capability to control
the whole system.
- Security alert from the kernel.
- Port scanner detector in kernel.

> Нуно именно демон, ведь в проге можно перехватить kill -9 и перед
> смертью оповетить родных.
Вы пробовали? ;)
man 7 signal будьте любезны.

> А результат работы tripware, имхо, подделать не проблема :(
Если у хакера есть root то вообще ничто не проблема.

если решать проблему глобально то http://www.rsbac.de поможет.

> Вы пробовали? ;)
> man 7 signal будьте любезны.
Посыпаю голову пеплом :((( Общение с вами чрезвычайно позновательно :)

> Если у хакера есть root то вообще ничто не проблема.
А мне как раз хочется создать ему оооооочень много проблем, даже если
он сумел стать рутом :) Не <censored> их баловать :)

За ссылку СНКС. Изучим :)

>> А результат работы tripware, имхо, подделать не проблема :(
> Если у хакера есть root то вообще ничто не проблема.

Звиняйте ... ну вы и гоните ... вы Tripwire хоть раз ставили ???
Он же свою базу шифрует и без пароля никто там ничего не исправит ...
Свои отчеты (которые он может отсылать вам по почте) он тоже шифрует ...
чтобы их просмотреть на своей стороне - надо знать пароль (ключ) ...

А еще в системе одного root-а бывает мало, поэтому заводят security officer, который может блокировать работу даже root-а (делается на уровне ядра путем патчей).

А что касается LIDS , то по-моему он именно security officer и делает, если нет - RSBAC ... я ими не пользуюсь, но интерисовался - хорошие штуки, только их надо самостоятельно изучить и понять нужно это вам или нет.

P.S. У меня Slackware 7.1 ... мне тоже rpm-ом все сканировать ??? ;-) Вообще, на мой взгляд в последнее время все слишком ударились в rpm-дистрибутивы, оно конечно удобно ... новичкам, например, но тем у кого другие дистрибутивы и нет базы rpm (сам менеджер RPM в Slackware 7.1 есть, но устанавливаемые приложения там естественно не регистрируются)... Кстати именно rpm-дистрибутивы и их создатель лидируют на www.securityfocus.com по числу уязвимостей, и выводят Linux на первое место по их числу, оставляя далеко позади Microsoft ... вот так. А происходит это не потому, что не-rpm дистрибутивы менее популярны, а потому, что они (Mandrake, RedHat) очень любят бета и unstable пакеты включать в свой дистрибутив и вообще делать другие вещи, чтобы пользователи поучавствовали в их глобальном эксперименте ... P.S. Не стоит спорить тут про дистрибутивы, это было небольшое отвлечение от темы ...