監控文件系統的變化
首先安裝aide文件監控工具
yum install aide -y
/etc/aide.conf 配置文件
3 @@define DBDIR /var/lib/aide
4 @@define LOGDIR /var/log/aide 以上是它的變量
7 database=file:@@{DBDIR}/aide.db.gz 是以.gz的格式壓縮,這是壓縮後的數據庫存放位置 在/var/lib/aide目錄下。
12database_out=file:@@{DBDIR}/aide.db.new.gz 文件輸出。
15 gzip_dbout=yes 文件壓縮格式是以gzip的格式壓縮,默認yes
18 verbose=5 系統文件最多保留
20 report_url=file:@@{LOGDIR}/aide.log 日誌文件
以下是定義監控哪些目錄或文件:
88/boot NORMAL
89/bin NORMAL
90/sbin NORMAL
91/lib NORMAL
92/lib64 NORMAL
93/opt NORMAL
94 /usr NORMAL
95/root NORMAL
後面的NORMAL意思在配置文件中都有說明,我這裏舉一個例子:
68 NORMAL = R+rmd160+sha256
這個R的詳解配置文件中也有,請看下面:
54#R: p+i+n+u+g+s+m+c+acl+selinux+xattrs+md5
55#L: p+i+n+u+g+acl+selinux+xattrs
56#E: Empty group
57#>: Growing logfilep+u+g+i+n+S+acl+selinux+xattrs
而後面的p的詳解也有:
28#p: permissions
29#i: inode:
30#n: number of links
31#u: user
32#g: group
33#s: size
34#b: block count
35#m: mtime
36#a: atime
37#c: ctime
38#S: check for growing size
39#acl: Access Control Lists
當然以上這些只是說了部分功能及信息,配置文件裏還有其他一些更多相關信息。
也就是說,後面只要寫上NORMAL,就能監控許多你想監控的一些信息了,比如權限,文件大小,擁有人,擁有組等。
不想監控的話在所在文件的前面加上!(嘆號)即可,例如:
96 #These are too volatile
97!/usr/src
98!/usr/tmp
aide --init 生成數據庫
aide --check 監控檢查文件是否被惡意修改 (新生成的數據庫文件必修修改名字,否則使用這個命令時會提示正在讀取中,但必須有那個數據庫文件)
/dir 監控本目錄及目錄下所有文件及目錄
=/dir 只監控目錄本身,不會監控以下的子目錄
!/dir 跳過本目錄,不對本目錄監控
監控文件系統的變化