ServerGuard
Мониторинг файловой системы и Docker событий на хосте
🔧 Team и выше
Обзор
ServerGuard — системный демон, который мониторит критичные пути файловой системы (/etc, /opt, /var) и Docker события (create, start, stop, destroy) в реальном времени. Обнаруженные изменения логируются в audit и доступны через forensics timeline. Помогает обнаружить unauthorized modifications, compromised containers и configuration drift.
Что мониторит
/etc, /opt/flowlink, кастомные пути
Container create/start/stop/destroy
Изменения setuid/setgid битов
Установка/удаление пакетов
Установка и запуск
# Автоматическая установка (включает ServerGuard) curl -fsSL https://raw.githubusercontent.com/braincreator/flowlink/main/scripts/install.sh | bash # Ручной запуск /opt/flowlink/bin/flowlink guard --relay http://127.0.0.1:9081 \ --agent $AGENT_ID --key $TOKEN \ start --foreground --docker --watch /etc,/opt,/var/www # Статус sudo systemctl status flowlink-guard@$AGENT_ID # Логи sudo journalctl -u flowlink-guard@$AGENT_ID -f
Метрики (Prometheus)
ServerGuard экспортирует метрики на порту 9092:
curl http://localhost:9092/metrics
# Ключевые метрики:
# flowlink_guard_file_events_total{path="/etc", type="modify"}
# flowlink_guard_docker_events_total{action="container_start"}
# flowlink_guard_scanned_paths
# flowlink_guard_uptime_secondssystemd Unit
# /etc/systemd/system/flowlink-guard@.service [Unit] Description=FlowLink ServerGuard for %i After=network.target docker.service [Service] Type=simple ExecStart=/opt/flowlink/bin/flowlink guard \ --relay http://127.0.0.1:9081 \ --agent %i \ start --foreground --docker --watch /etc,/opt Restart=always RestartSec=5 [Install] WantedBy=multi-user.target
Интеграция с Forensics
Все ServerGuard события автоматически попадают в forensic timeline. Вы можете отследить chronology: кто, когда и что изменил на хосте. Связка ServerGuard + Forensics = full host audit trail.