staging.inyokaproject.org

Hi @ all, ich hätte eine Frage in die Runde, wie man am besten sich veränderndene Datein/Konfigs/etc. am besten ohne viel Aufwand monitoren könnte z.B. Icinga/Check_MK. Aktuell hatte ich HIPS Systeme wie z.B. Samhain und Tripwire mir angeschaut, finde es aber ein wenig Overkill diese Systeme einzusetzen, wenn das Ziel ist nur einfache Veränderungen festzustellen und ggf. mit einem "Diff" mir anzuschauen.

Hier wäre daher die Frage gibt es ein Tool, was genau das macht, also ein Hash von der Datei erstellt, sowie Diff, welches ich im Anschluss via Monitoring Script an Icinga/Check_MK weiterleiten kann? Oder gibt es dort draußen selbst gebaute Python Skrypte die genau das machen, also Datein/Verzeichnisse Monitoren auf mögliche Veränderungen?

VG

Um welche Dateien / Ordner geht es dir konkret? Sprechen wir nur von /etc, welches relativ statisch ist, oder reden wir von mehr Datenmengen?

muvassa schrieb:

Hier wäre daher die Frage gibt es ein Tool, was genau das macht, also ein Hash von der Datei erstellt

VG

Selbst machen, z.B. so:

1
2

# Hasht alle Dateien in einem Baum und legt das Ergebnis übergeordnet ab
find -type f -exec md5sum '{}' \; | tee ../allfiles.txt

1
2

# Prüft die Dateien
md5sum --quiet -c ../allfiles.txt

encbladexp schrieb:

Um welche Dateien / Ordner geht es dir konkret? Sprechen wir nur von /etc, welches relativ statisch ist, oder reden wir von mehr Datenmengen?

Ich würde hier eher schon sagen Datenmengen, aber ich wäre für beides offen.

Datenmengen ist keine Angabe, reden wir von 1000000000 Dateien und 2 TiB, oder von welcher Menge? Welche Art sind die Dateien? z.B. lässt sich Quellcode gut vergleichen mit diff, bei Binärdateien ist das aber quasi sinnlos.

muvassa schrieb:

[…] am besten […]

Das lässt sich nicht generell beantworten, weil es immer von individuellen Randbedingungen abhängt. Hier können nur Hinweise gegeben werden, wie man es prinzipiell machen könnte.

ein Tool, was genau das macht, also ein Hash von der Datei erstellt, sowie Diff […]

Eine Prüfsumme (Hash) von einer Datei erstellen md5sum und die Befehle aus der Familie sha*sum. Die Algorithmen MD5 und SHA1 sollte man für diesen Zweck nicht verwenden, da sie als kryptographisch gebrochen gelten. Alle diese Programme erlauben sowohl die Erzeugung des Hash als auch die Prüfung, ob ein bekannter Hash zu einer vorhandenen Datei gehört.

Das funktioniert auch für mehrere Dateien, oder man kann diese Befehle über ein selbst von Dir zu erstellendes Skript benutzen.

Die Erzeugung der Prüfsummen und auch die Prüfung, welche ja prinzipbedingt einer erneute Erzeugung jedes Hash bedingt, ist durchaus zeitaufwändig, weil abhängig von Dateigröße und -anzahl. Ob so etwas für den eigenen Zweck sinnvoll ist, muss jeder selbst entscheiden.

Schau Dir mal AIDE an. Denke das ist was du suchst.

https://de.wikipedia.org/wiki/Advanced_Intrusion_Detection_Environment

https://aide.github.io/