监控Linux文件变化,防止系统被黑
|
还有一个方法就是对特定目录(比如Web目录)开始时候对其计算md5 哈希,以后定时计算md5然后比对,发现md5 哈希不一致了,说明文件已经被篡改了。对此,虫虫之前基于这个原理用Perl写了一个脚本MD5Check(github:/bollwarm/MD5Check),可以直接用来使用或者做参考。 MD5Check安装很简单,有Perl的环境下(依赖Digest::MD5)直接下直接clone文件就可以使用,或者使用cpanm安装 cpanm MD5Check 使用: 使用方法,执行 perl bin/init.pl web目录(自定义),初始化MD5值。 然后使用perl bin/check.pl前一部保存的md5哈希的文件检查。 详细实例,见bin目录下的 init.pl 和 check.pl cpanm安装后,可以直接用perl单行程序检查使用 初始化: perl -MMD5Check -e 'init("/web")' >file 检查: perl -MMD5Check -e 'print md5check(file)' 实例:我们举一个wordexpree网站为例子: perl init.pl /web >webmd5.20161027
检查: perl check.pl webmd5.20161027
总结 本文我们讲述了通过监控linux文件变化方式防止系统被黑。讲述了常见的几种监控linux系统下文件监控的方法:find、rpm,Inodify以及自编写脚本的方法。当然这些方法需要配合监控系统(比如zabbix)才能实现及时全面的系统,可以将其做为系统安全监控部分(其他部分包括进程监控、防火墙变化监控、流量变化)来配置和告警。关于这些部分,以后有机会再给大家介绍。 (编辑:衡阳站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
