原文发表于：7 招搞定你的网站安全（下）

这是 7 招搞定你的网站安全（下）篇，如果你没有看过前一篇，建议你先从那里入手。

文件审计和入侵检测系统

文件审计是在系统处于已知良好状态时，将当前系统与文件的记录和文件特征进行比较的过程。这用于检测可能已授权的系统更改。

入侵检测系统或IDS是一种监视系统或网络以进行未授权活动的软件。许多基于主机的IDS实现使用文件审计作为检查系统是否已更改的方法。

他们如何提高安全性？

与上述服务级审计类似，如果您认真确保安全系统，则能够对系统执行文件级审计非常有用。这可以由管理员定期执行或作为IDS中自动化过程的一部分。

这些策略是一些绝对确保您的文件系统未被某些用户或进程更改的唯一方法。由于很多原因，入侵者通常希望保持隐藏，以便他们可以继续在延长的时间内利用服务器。他们可能会用受损的版本替换二进制文件。对文件系统进行审计将告诉您是否有任何文件被更改，从而使您对服务器环境的完整性有信心。

怎么实现？

实施IDS或执行文件审计可能是一个相当密集的过程。初始配置包括告知审计系统您对服务器进行的任何非标准更改，并定义应排除以创建基准读数的路径。

它也使日常操作更加深入。它使更新过程变得复杂，因为您需要在运行更新之前重新检查系统，然后在运行更新后重新创建基准以捕获对软件版本的更改。您还需要将报告卸载到其他位置，以便入侵者无法更改审计以覆盖其轨道。

虽然这可能会增加您的管理负载，能够检查您的系统对已知好的副本是唯一的方法，以确保文件没有在您不知情的情况下更改。一些流行的文件审计/入侵检测系统是Tripwire和Aide。

更多内容请查看：7 招搞定你的网站安全（下）