完整性检查与审计

Question

在RHEL5安全指南中，推荐使用AIDE检查软件完整性。以及内置的RPM完整性检查功能。但是频繁的检查可能需要资源，而很少的检查可能不是很有用。另一方面，对关键部分的不断审计相对便宜。它仍然在一定程度上确保了诚信。

因此，基本上我的问题是:在哪种情况下，完整性检查(AIDE、RPM或其他新的)比审计更好？

UPD:只是为了澄清一下。所谓“审计”，是指基于特定auditd守护进程的RHEL审计服务。它可以适当地调整，以监督文件和目录的不断。要想不通过完整性检查，应该以某种方式修改文件，审计系统会注意到这一点。那么，当我们可以追踪修改的原因时，为什么还要考虑后果(例如，失败的校验和)？

Answer 1

我不知道这个问题能否得到有意义的回答，但我不太确定是否能投票结束它。

但我确实认为，在任何成本效益分析中，你都不能忘记效益:在这种情况下，这就是避免失败的代价。您说频繁检查可能是“资源需求”，这很可能是这样的:但是，由于发生了一些入侵，需要资源的人如何从黄金备份中重建后端基础设施呢？

从完整性和功能性的角度来看，您在保护一个系统上花费了多少钱取决于系统的价值。对我自己来说，任何将暴露在互联网上的机器每天都要进行连线检查，并通过电子邮件进行报告。几乎所有的syslogs都是集中的日志主机，没有系统；入侵者在进入的过程中可能产生的任何脚印都无法从远程系统中删除。更敏感的机器也可能得到RPM完整性检查，启用selinux (在运行非标准软件时会带来所有可怕的麻烦)，从只读媒体运行的绊脚线，甚至更多的完整性保护。这一切都取决于这台机器的价值。

编辑:我不明白你指的是auditd软件服务，而不是审计的一般概念，这是真的，但即使我有了答案，我的回答也是一样的:深度防御，资产价值所证明的深度。如果有一个名为complete-securityd的简单、廉价、绝对可靠的服务，我们都会运行它；由于没有，您采取的预防措施越多，妥协的可能性就越小：(a)和(b)当它发生时不被发现。

由于您询问auditd可能错过的入侵类型和tripwire可能捕获的入侵类型，因此定制的内核模块攻击就是其中之一，因为tripwire可以从只读媒体和内核运行，而auditd不能。