歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Linux基礎 >> 關於Linux

Linux Sys Monitor系統運維監控器防篡改簡介

黑客可能因為一些目的,而攻擊您的服務器。常見的比如政府的官方網站首頁被篡改。

不常見的比如維基解密創始人朱利安·阿桑奇曾入侵美國國防部等政府機構的網站,控制其兩年之久才被發現。

黑客一般入侵之後會修改您的系統文件,為自己留下後門。下次不用再輸入密碼就能夠登錄。

比如登錄程序:/bin/login文件。

或者修改/bin/ps文件,隱藏自己的木馬進程。

為了發現這些系統文件是不是被篡改了,或者您的網站文件是不是被篡改了。

您就需要借助工具來發現它們。

通過此防篡改功能,可以快速的發現並還原它們。

再通過上面的進程監控功能,您可以有效的定位到木馬程序,並清除它們。

並且您可以通過木馬進程的id,在端口監控中鎖定到是哪一台計算機在使用它們。

數據源配置

如果您是第一次使用此功能,請點擊“設置數據源”按鈕。

 

數據源是指您要防篡改的文件夾的備份源。

數據源分為兩種類型:FTP、光盤或本地目錄,只能選擇其中的一種方式。

例如:

選擇FTP類型,

連接地址是FTP服務器的IP,(請保證被監控Linux機可以訪問這個地址)

填寫完登錄用戶、登錄密碼後,點“測試”就可以測試Linux機是否可以訪問這個地址,並且驗證了用戶名、密碼。

指定目錄:比如我將各個要備份的文件夾都放在FTP的/TamperBackup/目錄下,“/”表示用登錄用戶名剛登錄成功時的路徑。

選擇光盤或本地目錄時,界面如下:

本文URL地址:http://www.bianceng.cn/OS/Linux/201410/45347.htm

本地路徑中,填寫Linux機上的備份路徑。這裡舉例是光盤的路徑。

全部設定好後,點“保存配置”按鈕。這會將您的配置,保存到Linux機上。

然後,關閉它。再點主界面上的“讀取”按鈕。

數據源框中就會顯示,您已經保存好的配置信息。並提示是否測試FTP連接。

選是就立刻測試,並返回結果。

數據源就設置好了,下面配置方案。

方案配置

點主界面上的“設置方案”按鈕。出現防篡改方案對話框。

首先,點方案列表下面的“添加”按鈕,添加一個主方案。

方案ID被自動填寫,不能修改。

目標文件夾:即要被監控的文件夾。

數據源相對文件夾:也就是上面數據源目錄下的哪個目錄。

例如:

上面數據源是FTP的/TamperBackup/目錄,

那麼這裡指的就是FTP的/TamperBackup/LinuxSysMonitor/目錄是/root/LinuxSysMonitor/的備份目錄。

檢查鎖定:控制監控時是否比對方案條目中的文件物理屬性鎖定狀態,鉤上表示檢查。

點確定後,插入到方案列表中。檢查鎖定狀態將花去比較多的時間。

本文URL地址:http://www.bianceng.cn/OS/Linux/201410/45347.htm

選中某一個方案,可以修改和移除方案。移除時,必須保證此主方案下沒有子條目了。

還可以在下面給它添加子條目。

點方案條目下的添加按鈕,打開添加對話框。

查找框中不填寫,表示查找全部。

如果填寫表示指定查找,在添加常用中可以下拉選擇您想篩選的文件類型,多個項以空格隔開 *開頭表示模糊查找。

填寫好後,點擊“開始掃描”按鈕。

您還可以選擇在監控時,是否需要比較大小,或比較md5碼。

需要就打上鉤。掃描時,會將這些信息都掃描到下面的列表中去。

如果兩項都選,比對時md5碼優先與文件大小。

在掃描狀態中顯示的是掃描的過程與結果,這裡顯示。

掃描完成共1872文件其中198文件夾大小65.86 mB用時2秒

一共掃出來1872個文件(包括的文件夾數),

其中有198個是文件夾,總大小是65.86兆。

用時2秒,並不是真正的掃描花了2秒,而加上了信息傳送和界面動態顯示的總時間。

實際掃描速度遠快於這個時間。

注:請不要用此功能對“/”根目錄進行掃描,因為文件數太多,掃描到第30萬個文件時會因客戶端虛擬機內存滿了無法繼續。

下面有4個按鈕方便您對掃描結果列表進行操作。

“查找”是指在結果中快速定位查找。

“移除”是指從結果中刪除某選中行。

“全部移到方案中”是指您已經編輯好這些項之後,把它們移動主界面的方案條目列表中去。

“移除”是指您對掃描的結果不滿意,需求清空它們,重新掃描。

對於掃描結果中的每一行,點擊右鍵可以選擇菜單。

“鎖住”是指設置文件物理屬性為鎖定狀態。(方案中的檢查鎖定設為是時生效)

“不鎖”是指設置文件物理屬性為非鎖定狀態。(方案中的檢查鎖定設為是時生效)

如果物理屬性為鎖定,root用戶也將不能修改刪除此文件。除非他用root權限解鎖。

方案中設為檢查,這裡選擇的鎖住。在控制監控時,將比對文件物理屬性鎖定狀態,如果與設定的不一致就修改成一致的。(否:解鎖,是:上鎖)

“自動還原”是指如果監控時發現文件被修改了,立刻將它從備份中還原。

“不還原只警告”是指如果監控時發現文件被修改了,不還原它,只提示出來。

以上4個選項只能對文件項設定。

“全鎖住”打鉤,是將列表中的文件項,全部設為鎖住。

我們點“全部移到方案中”,在主界面的方案條目列表中就插入了它們。

本文URL地址:http://www.bianceng.cn/OS/Linux/201410/45347.htm

然後,點擊“保存方案”按鈕。這會將您的配置,保存到Linux機上。

然後,關閉它。再點主界面上的“讀取”按鈕。

在方案數框中,就會顯示,您已經保存好的配置信息。

方案就設置好了,下面做完整性檢查。

完整性檢查

完整性檢查是查找,被監控的條目,與數據源上的這些條目的備份文件都是不是存在。

如果不存在將報錯。

完整性檢查是比較花時間的。此步驟為非必須。

如果檢查成功,在下面的運行情況中會顯示:

完整性檢查完畢!

啟動與停止監控

啟動監控:啟動時,會打開一個啟動設置的對話框詢問您要啟動監控的線程個數,單個文件掃完的休眠時間和每輪掃描完的休眠時間。

一般啟動線程數不用設得太大,線程的多少與掃描速度和還原速度有關。

另每多一個線程,需要FTP多打開一個連接數。

為了讓您的cpu得到休息,可以設定單個文件掃完的休眠時間和每輪掃描完的休眠時間。

都是以毫秒計算。您在啟動之後,可以在“匯總”界面中看看cpu的使用情況,把它們調到理想狀態。

下面我以10個線程數,1886個條目為例啟動。

掃完一個輪詢用時是376毫秒(包括了md5碼比對)。

也就是說,速度是5個文件/毫秒。

再做一個實驗,只啟動1個線程,一個輪詢用時389毫秒,相差不大。

因為中間沒有休眠,無論是一個線程還是多個線程都在搶占cpu時間,cpu滿負荷運行。

所以它們幾乎是等效,但這樣做對於cpu占用太多,對cpu不能有效的保護。

作者建議每掃完一個休眠時間填大於0的值,讓cpu得到休息。

且多個線程的還原速度,絕對優於1個線程。

因為1個線程在還原時,其它線程都在繼續做其它的任務。

通過上面的測試,我們發現掃描得太快了。那麼,可以讓它們休息一下。

如果只啟動1個線程,掃描完一個文件休眠10毫秒,結果如下:

監控正在運行中,上次掃描用時21秒404毫秒

如果啟動10個線程,掃描完一個文件休眠10毫秒,結果如下。

監控正在運行中,上次掃描用時02秒341毫秒

這樣,速度下來了,cpu也得到了好的保護。

2秒掃描,加上1秒的輪詢休眠時間,一共3秒鐘就比對完了一遍。

本文URL地址:http://www.bianceng.cn/OS/Linux/201410/45347.htm

下面做一個文件被替換的測試:

將一個日志文件修改掉後,右下角顯示一個文件篡改提示的小窗口,點擊窗口中的按鈕,

對應的Linux監控主界面被顯示出來,如果顯示的不是“防篡改”界面,會自動跳到“防篡改”界面。

運行情況框中顯示出下面的信息。

發現文件md5碼與配置中的不一致:

primary=faffe8b242d7d0602a9062653e8cb284 now=d21d63d0105e8f5288e041d5326f5bad /root/LinuxSysMonitor/bin/error.log.2013-06-16

--------------------------------------------------

還原文件成功:

/root/LinuxSysMonitor/bin/error.log.2013-06-16

Ftp備份路徑:/TamperBackup/LinuxSysMonitor/bin/error.log.2013-06-16

--------------------------------------------------

注:如果刪除了文件夾,會把文件夾裡的設定為自動還原的條目都還原。

啟動之後,關閉了客戶端,不影響防篡改監控的運行,下次打開客戶端,還是會看到它的運行情況,而不用再點啟動按鈕。

停止監控:點擊“停止監控”按鈕,等待1-2秒之後,運行情況框中顯示,監控已停止的信息。並且“停止監控”按鈕,變成了“啟動監控”按鈕。

Copyright © Linux教程網 All Rights Reserved