那些遇到过的问题

当在本地文件系统上创建具有特定内容(例如校验和给出)的文件时,如何捕获事件?

Ada*_*ski 1 filesystems security logs tripwire

我想实现某种绊线安全机制,当用户在其工作站的硬盘驱动器(将由我管理)上写入具有特定内容的文件时,该机制会实时跟踪事件。

否则出色的loggedfs不允许我监视文件的内容,只能监视文件名。

我还有什么选择?我想我需要类似于实时防病毒软件使用的东西。

PS 我可以使用 btrfs 并依赖其叶块校验和。但我更喜欢更通用的解决方案。

Lam*_*ert 6

在 Linux 上,您可以将该inotify机制与incron. incron通过安装包进行设置并编辑配置:

/etc/incron.conf
system_table_dir=/etc/incron.d
user_table_dir=/var/spool/incron
allowed_users=/etc/incron.allow
denied_users=/etc/incron.deny
lockfile_dir=/var/run
logfile_name=incrond
editor=vi
Run Code Online (Sandbox Code Playgroud)

然后配置一个手表/etc/incron.d/myscriptwatch

/path/to/dir IN_CLOSE_WRITE,IN_MOVED_TO /path/to/check_content_script.sh $@ $#
Run Code Online (Sandbox Code Playgroud)

下一步是设置您/path/to/check_content_script.sh检查文件的作用:

CURRSUM=$(md5sum $@)
PREVSUM=$(cat /path/to/old_saved_sum)

if [ "$CURRSUM" = "$PREVSUM" ]
then
   echo "file $@ is not altered" >> /tmp/watch_log
else
   echo "file $@ is altered" >> /tmp/watch_log
fi
Run Code Online (Sandbox Code Playgroud)

您还可以监视其他事件以查看文件是否已更改,例如 IN_CLOSE_WRITE,IN_ATTRIB,IN_MODIFY

有关man 5 incrontab更多详细信息,请参阅。

归档时间:

查看次数:

241 次

最近记录:

6 年,5 月 前
相关归档
在 Linux 上执行可能有害的程序 35
从文件集合中收集随机样本的最佳方法 27
当分区已满时,Linux 文件系统会老化旧文件 9
将/var/logs挂载为tmpfs,有时借助overlayfs来保存更改 9
有没有一种简单的方法可以不记录特定的 sshd 事件? 7
撤消wipefs --all --force /dev/sda?/开发/ sda 7
挂载和自动挂载和安全问题 5
使只读文件系统的一部分可写 4
禁用auditd 的系统日志记录 4
从文件的行创建目录 3
难疑归档
如何正确添加路径到PATH? 1174
为什么最好使用“#!/usr/bin/env NAME”而不是“#!/path/to/NAME”作为我的shebang? 588
如何使用 Linux 命令检查操作系统和版本 369
shell 脚本中的变量是否有命名约定? 176
使用 vimdiff 复制更改的推荐方法是什么? 146
bash 的历史存储在哪里? 130
这个文件夹/run/user/1000是什么? 116
-m conntrack --ctstate 和 -m state --state 有什么区别 105
我可以以某种方式向已经运行的 prog1 添加“&& prog2”吗? 88
SFTP、SCP 和 FISH 协议之间有什么区别? 83