Afick是一款与著名文件完整性验证工具 tripwire非常相似的安全工具,它可以监控你的文件系统的变化,因此可以检测出***行为。(以上是网上的介绍,关于它的原理和这次暂不介绍下面简单说一下安装和使用)。
环境Centeros 6.3 64位
以下下是软件 上次传资料没注意下载豆的问题 以后开源的东西我都不要豆
http://down.51cto.com/data/1099898 源码包
http://down.51cto.com/data/1099899 rpm包
首先安装不要的软件包
[root@localhost ~]# yum -y install perl
[root@localhost ~]# tar xf afick-3.4.tgz
[root@localhost ~]# cd afick-3.4
[root@localhost afick-3.4]# perl Makefile.pl
[root@localhost afick-3.4]# make install
[root@localhost ~]# vi /etc/afick.conf 编辑配置文件添加需要检测的目录
一下是配置文件的一些内容以及我对它的理解
这是监控的行动
# action : a list of item to check :
# md5 : md5 checksum
# sha1 : sha-1 checksum
# sha256 : sha-256 checksum
# sha512 : sha-512 checksum
# d : device
# i : inode
# p : permissions
# n : number of links
# u : user
# g : group
# s : size
# b : number of blocks
# m : mtime
# c : ctime
# a : atime
这是设置的一些“监控的动作”的别名组合
#all: p+d+i+n+u+g+s+b+m+c+md5
#R: p+d+i+n+u+g+s+m+c+md5
#L: p+d+i+n+u+g
#P: p+n+u+g+s+md5
#E: ''
DIR=p+i+n+u+g
ETC = p+d+i+u+g+s+md5
Logs = p+n+u+g
MyRule = p+d+i+n+u+g+s+b+md5+m
一下是监控的目录和该目录被监控的动作
=/ DIR
/etc ETC
/usr/bin MyRule
/usr/sbin MyRule
/usr/lib MyRule
一下是一些简单的操作使用命令
[root@localhost ~]#afick -c /etc/afick.conf –i 创建原始数据库
# Hash database created successfully. 13326 files entered.
# #################################################################
# MD5 hash of /var/lib/afick/afick => y1GbVg0B+pVBaUp9l8sizQ
# user time : 4.63; system time : 1.11; real time : 6
[root@localhost ~]# touch jdm.test 制造个变动
[root@localhost ~]# chmod 644 /etc/profile制造个变动
[root@localhost ~]# chmod 777 aaaaa 制造个变动
[root@localhost ~]# useradd -g root zhangxi制造个变动
[root@localhost ~]#afick -c /etc/afick.conf –k 检查变更情况
# detailed changes
new file : /root/jdm.test
inode_date : Wed Mar 12 14:00:29 2014
changed file : /etc/passwd
md5 : 8b047ab7fa8e663c0a4601731ec27137 22c53b608c0f8da5cb5b0a341c75b761
inode : 188601 188609
filesize : 1211 1252
changed file : /etc/passwd-
md5 : 95f354f48ca9a62372727d5cf220ab13 8b047ab7fa8e663c0a4601731ec27137
filesize : 1178 1211
changed file : /etc/profile
filemode : 100644 100777
changed file : /etc/shadow
md5 : 90b5aba8688fa713ab3787a598569187 da4e3c7b3ac80f52bf8a545902d2cbdc
inode : 188602 188601
filesize : 810 840
changed file : /etc/shadow-
md5 : 297162f0cee8ba0fb70e4b8b17256946 90b5aba8688fa713ab3787a598569187
filesize : 781 810
changed directory : /root
mtime : Wed Mar 12 13:13:05 2014 Wed Mar 12 14:00:29 2014
changed file : /root/aaaaa
filemode : 100644 100777
# Hash database : 13327 files scanned, 8 changed (new : 1; delete : 0; changed : 7; dangling : 5; exclude_suffix : 161; exclude_prefix : 0; exclude_re : 0; degraded : 1)
# #################################################################
# MD5 hash of /var/lib/afick/afick => y1GbVg0B+pVBaUp9l8sizQ
# user time : 5.4; system time : 0.79; real time : 6
[root@localhost ~]# afick -c /etc/afick.conf –u 更新数据库
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。