首先安裝aide檔案監控工具
yum install aide -y
/etc/aide.conf 配置檔案
3 @@define dbdir /var/lib/aide
4 @@define logdir /var/log/aide 以上是它的變數
7 database=file:@@/aide.db.gz 是以.gz的格式壓縮,這是壓縮後的資料庫存放位置
在/var/lib/aide目錄下。
12database_out=file:@@/aide.db.new.gz 檔案輸出。
15 gzip_dbout=yes 檔案壓縮格式是以gzip的格式壓縮,預設yes
18 verbose=5 系統檔案最多保留5份。
20 report_url=file:@@/aide.log 日誌檔案
以下是定義監控哪些目錄或檔案:
88/boot normal
89/bin normal
90/sbin normal
91/lib normal
92/lib64 normal
93/opt normal
94 /usr normal
95/root normal
後面的normal意思在配置檔案中都有說明,我這裡舉乙個例子:
68 normal = r+rmd160+sha256
這個r的詳解配置檔案中也有,請看下面:
54#r: p+i+n+u+g+s+m+c+acl+selinux+xattrs+md5
55#l: p+i+n+u+g+acl+selinux+xattrs
56#e: empty group
57#>: growing logfilep+u+g+i+n+s+acl+selinux+xattrs
而後面的p的詳解也有:
28#p: permissions
29#i: inode:
30#n: number of links
31#u: user
32#g: group
33#s: size
34#b: block count
35#m: mtime
36#a: atime
37#c: ctime
38#s: check for growing size
39#acl: access control lists
當然以上這些只是說了部分功能及資訊,配置檔案裡還有其他一些更多相關資訊。
也就是說,後面只要寫上normal,就能監控許多你想監控的一些資訊了,比如許可權,檔案大小,擁有人,擁有組等。
不想監控的話在所在檔案的前面加上!(嘆號)即可,例如:
96 #these are too volatile
97!/usr/src
98!/usr/tmp
aide --init 生成資料庫
aide --check 監控檢查檔案是否被惡意修改 (新生成的資料庫檔案必修修改名字,否則使用這個命令時會提示正在讀取中,但必須有那個資料庫檔案)
/dir 監控本目錄及目錄下所有檔案及目錄
=/dir 只監控目錄本身,不會監控以下的子目錄
!/dir 跳過本目錄,不對本目錄監控
監控檔案系統的變化
首先安裝aide檔案監控工具 yum install aide y etc aide.conf 配置檔案 3 define dbdir var lib aide 4 define logdir var log aide 以上是它的變數 7 database file aide.db.gz 是以.gz...
監控檔案系統的變化
首先安裝aide檔案監控工具 yum install aide y etc aide.conf 配置檔案 3 define dbdir var lib aide 4 define logdir var log aide 以上是它的變數 7 database file aide.db.gz 是以.gz...
使用pyinotify監控檔案系統變化
import pyinotify wm pyinotify.watchmanager 建立乙個wachmanager物件 mask pyinotify.in create pyinotify.in delete 建立要監控的事件,這裡是監控建立檔案與刪除檔案事件 wm.add watch 要監控的檔...