首页 > 代码库 > 监控文件系统的变化
监控文件系统的变化
首先安装aide文件监控工具
yum install aide -y
/etc/aide.conf 配置文件
3 @@define DBDIR /var/lib/aide
4 @@define LOGDIR /var/log/aide 以上是它的变量
7 database=file:@@{DBDIR}/aide.db.gz 是以.gz的格式压缩,这是压缩后的数据库存放位置 在/var/lib/aide目录下。
12database_out=file:@@{DBDIR}/aide.db.new.gz 文件输出。
15 gzip_dbout=yes 文件压缩格式是以gzip的格式压缩,默认yes
18 verbose=5 系统文件最多保留5份。
20 report_url=file:@@{LOGDIR}/aide.log 日志文件
以下是定义监控哪些目录或文件:
88/boot NORMAL
89/bin NORMAL
90/sbin NORMAL
91/lib NORMAL
92/lib64 NORMAL
93/opt NORMAL
94 /usr NORMAL
95/root NORMAL
后面的NORMAL意思在配置文件中都有说明,我这里举一个例子:
68 NORMAL = R+rmd160+sha256
这个R的详解配置文件中也有,请看下面:
54#R: p+i+n+u+g+s+m+c+acl+selinux+xattrs+md5
55#L: p+i+n+u+g+acl+selinux+xattrs
56#E: Empty group
57#>: Growing logfilep+u+g+i+n+S+acl+selinux+xattrs
而后面的p的详解也有:
28#p: permissions
29#i: inode:
30#n: number of links
31#u: user
32#g: group
33#s: size
34#b: block count
35#m: mtime
36#a: atime
37#c: ctime
38#S: check for growing size
39#acl: Access Control Lists
当然以上这些只是说了部分功能及信息,配置文件里还有其他一些更多相关信息。
也就是说,后面只要写上NORMAL,就能监控许多你想监控的一些信息了,比如权限,文件大小,拥有人,拥有组等。
不想监控的话在所在文件的前面加上!(叹号)即可,例如:
96 #These are too volatile
97!/usr/src
98!/usr/tmp
aide --init 生成数据库
aide --check 监控检查文件是否被恶意修改 (新生成的数据库文件必修修改名字,否则使用这个命令时会提示正在读取中,但必须有那个数据库文件)
/dir 监控本目录及目录下所有文件及目录
=/dir 只监控目录本身,不会监控以下的子目录
!/dir 跳过本目录,不对本目录监控
监控文件系统的变化