MAATRIX / Блог / Мониторинг вторжений на VPS: auditd, OSSEC и контроль целостности

Мониторинг вторжений на VPS: auditd, OSSEC и контроль целостности

Блог MAATRIX · 2026-07-07

Взлом почти всегда тихий: злоумышленник входит, ставит бэкдор и месяцами сидит незамеченным. Система обнаружения вторжений ловит аномалии — новый файл в /bin, вход по SSH ночью, изменение критичного конфига. Настроим auditd для аудита на уровне ядра и OSSEC/Wazuh как полноценный HIDS.

auditd: аудит на уровне ядра

['auditd пишет в журнал каждое отслеживаемое событие ядра: доступ к файлам, вызовы, запуск процессов. Это фундамент — работает без агентов и почти не грузит систему.', '
apt update && apt install -y auditd audispd-plugins\nsystemctl enable --now auditd
', 'Добавляем правила слежки за критичными файлами в /etc/audit/rules.d/hardening.rules:', '
-w /etc/passwd -p wa -k identity\n-w /etc/shadow -p wa -k identity\n-w /etc/ssh/sshd_config -p wa -k sshd\n-w /etc/sudoers -p wa -k sudo\n-w /bin/ -p wa -k bin_changes\n-a always,exit -F arch=b64 -S execve -F euid=0 -k root_exec
', '
augenrules --load\nauditctl -l
', 'Флаги -p wa следят за записью и изменением атрибутов, -k задаёт метку для поиска.']

Нужен сервер под эту задачу?

Разверните VPS MAATRIX за пару минут: NVMe, AMD EPYC, root-доступ, локации UK и США. Оплата картой РФ и по СБП.

Арендовать VPS с полным контролем

Читаем журнал аудита

['Ищем события по меткам через ausearch и сводки через aureport:', '
# кто трогал sshd_config\nausearch -k sshd -i\n# все запуски от root\nausearch -k root_exec -i\n# сводка по аутентификации\naureport -au --summary\n# неудачные логины\naureport -au --failed
', 'Если в выводе появились изменения /etc/passwd или запуск подозрительного бинарника из /tmp — это красный флаг для расследования.', 'Флаг -i в ausearch делает вывод человекочитаемым: числовые UID превращаются в имена, коды syscall — в названия, timestamp — в дату. Метки (-k) — это ваш язык поиска: логично называть их по смыслу (identity, sshd, sudo), чтобы потом быстро выбирать нужный класс событий. Полезно завести отдельное правило на запуск процессов из временных каталогов — атакующие часто складывают полезную нагрузку в /tmp или /dev/shm: -a always,exit -F arch=b64 -S execve -F dir=/tmp -k tmp_exec.']

OSSEC/Wazuh: полноценный HIDS

['auditd собирает сырые события, а OSSEC (и его форк Wazuh) анализирует их, коррелирует и шлёт алерты. Это host-based IDS: контроль целостности файлов, анализ логов, детект руткитов, активный отклик.', '
curl -sO https://packages.wazuh.com/4.x/wazuh-install.sh\nbash wazuh-install.sh -a
', 'Для лёгкого VPS хватит одного агента без тяжёлого дашборда. Ключевые возможности из коробки:', '
  • FIM (File Integrity Monitoring) — хеширует файлы и алертит на изменения
  • Rootcheck — ищет признаки руткитов и скрытых процессов
  • Log analysis — разбирает auth.log, syslog, nginx на аномалии
  • Active response — сам банит IP при атаке
']

Контроль целостности файлов (FIM)

['Если нет ресурсов под Wazuh, лёгкий контроль целостности даёт AIDE. Он делает эталонный снимок и сравнивает состояние файлов по расписанию:', '
apt install -y aide\naideinit\nmv /var/lib/aide/aide.db.new /var/lib/aide/aide.db\n# проверка изменений:\naide --check
', 'Заворачиваем в cron с алертом на почту:', '
0 4 * * * /usr/bin/aide --check | mail -s "AIDE report $(hostname)" admin@example.com
', 'Любое неожиданное изменение системного бинарника или конфига попадёт в отчёт наутро. Важно хранить эталонную базу AIDE вне сервера (например, в бэкапе или на отдельном хосте): если злоумышленник получил root, он может подменить и базу, чтобы скрыть следы. Сравнение с внешней копией базы лишает его этой возможности.']

Алерты и быстрый отклик

['IDS без уведомлений бесполезен — никто не читает логи руками. Настройте отправку критичных событий на почту или в Telegram-бота через простой скрипт на logwatch/rsyslog. Плюс базовый fail2ban как активный отклик первого уровня.', 'Всё это требует стабильного сервера с честным root-доступом — на shared-хостинге auditd и ядерный аудит недоступны. VPS MAATRIX даёт полный root на AMD EPYC + NVMe от $8/мес: auditd не тормозит, логи читаются мгновенно, а ежедневные бэкапы дают точку отката, если вторжение всё же случилось. Локации UK и США, оплата картой РФ, СБП, криптой или токеном MAAT.']

Нужен сервер под эту задачу?

Разверните VPS MAATRIX за пару минут: NVMe, AMD EPYC, root-доступ, локации UK и США. Оплата картой РФ и по СБП.

Арендовать VPS с полным контролем

Частые вопросы

auditd сильно грузит сервер?

При разумном наборе правил — почти нет. Проблемы начинаются, если следить за всей файловой системой; следите точечно за критичными путями.

OSSEC или Wazuh?

Wazuh — активно развиваемый форк OSSEC с современным дашбордом и интеграциями. Для нового проекта берите Wazuh; чистый OSSEC — если нужен минимализм.

Что делать при срабатывании алерта?

Изолировать сервер (закрыть входящие), снять образ для анализа, проверить процессы и сетевые соединения, восстановиться из чистого бэкапа. Не чините взломанную систему на месте.