领动做的企业网站怎么样,无锡网站外包,网络推广营销培训机构,做企业网站到哪里找完整性检查是HIDS的重要组成部分之一#xff0c;linux下做完整性检查的思路有3个1、哈希对比2、签名校验3、inotify方法有2个#xff1a;A、定期检测#xff0c;例如通过cron或程序内置计时器B、实时检测#xff0c;inotify1、2一般和A#xff0c;3一般和B。用inotify做完…完整性检查是HIDS的重要组成部分之一linux下做完整性检查的思路有3个1、哈希对比2、签名校验3、inotify方法有2个A、定期检测例如通过cron或程序内置计时器B、实时检测inotify1、2一般和A3一般和B。用inotify做完整性检查的程序现在貌似还没现成比较好用的谁推荐一个。作者概要 – 为什么需要监控文件系统在日常工作中人们往往需要知道在某些文件(夹)上都有那些变化比如通知配置文件的改变跟踪某些关键的系统文件的变化监控某个分区磁盘的整体使用情况系统崩溃时进行自动清理自动触发备份进程向服务器上传文件结束时发出通知通常使用文件轮询的通知机制但是这种机制只适用于经常改变的文件(因为它可以确保每过x秒就可以得到i/o)其他情况下都非常低效并且有时候会丢失某些类型的变化例如文件的修改时间没有改变。像Tripwire这样的数据完整性系统它们基于时间调度来跟踪文件变化但是如果想实时监控文件的变化的话那么时间调度就束手无策了。Inotify就这样应运而生了。本文将简要介绍inotify告诉我们如何监控文件夹如何一有变化就报告相关消息事件并介绍了一些相关工具 我们可以把它们添加到自己的工具箱中。Inotify到底是什么Inotify是一种文件变化通知机制Linux内核从2.6.13开始引入。在BSD和Mac OS系统中比较有名的是kqueue它可以高效地实时跟踪Linux文件系统的变化。近些年来以fsnotify作为后端几乎所有的主流Linux发行版都支持Inotify机制。如何知道你的Linux内核是否支持Inotify机制呢很简单执行下面这条命令% grep INOTIFY_USER /boot/config-$(uname -r)CONFIG_INOTIFY_USERy12%grepINOTIFY_USER/boot/config-$(uname-r)CONFIG_INOTIFY_USERy如果输出(‘CONFIG_INOTIFY_USERy’)那么你可以马上享受Inotify之旅了。简单的文件变化通知样例好的开始是成功的一半对于了解Inotify机制来说让我们从使用inotifywait程序开始它包含在inotify-tools工具包中。假如我们打算监控/srv/test文件夹上的操作只需执行% inotifywait -rme modify,attrib,move,close_write,create,delete,delete_self /srv/testSetting up watches. Beware: since -r was given, this may take a while!Watches established.123%inotifywait-rmemodify,attrib,move,close_write,create,delete,delete_self/srv/testSettingupwatches.Beware:since-rwasgiven,thismaytakeawhile!Watchesestablished.上述任务运行的同时我们在另一个shell里依次执行以下操作创建文件夹然后在新文件夹下创建文件接着删除新创建的文件% mkdir /srv/test/infoq% echo TODO /srv/test/infoq/article.txt% rm /srv/test/infoq/article.txt123%mkdir/srv/test/infoq%echoTODO/srv/test/infoq/article.txt%rm/srv/test/infoq/article.txt在运行inotifywait的shell中将会打印以下信息/srv/test/ CREATE,ISDIR infoq/srv/test/infoq/ CREATE article.txt/srv/test/infoq/ MODIFY article.txt/srv/test/infoq/ CLOSE_WRITE,CLOSE article.txt/srv/test/infoq/ DELETE article.txt12345/srv/test/CREATE,ISDIRinfoq/srv/test/infoq/CREATEarticle.txt/srv/test/infoq/MODIFYarticle.txt/srv/test/infoq/CLOSE_WRITE,CLOSEarticle.txt/srv/test/infoq/DELETEarticle.txt显而易见只要有变化我们就会收到相关的通知。如果想了解关于Inotify提供的事件(如modify, atrrib等)的详细信息请参考inotifywatch的manpage。实际使用时如果并不想监控某个大文件夹那么就可以使用inotifywait的exclude选项。例如我们要忽略文件夹/srv/test/large那么就可以这样来建立监控:% inotifywait --exclude ^/srv/test/(large|ignore)/ -rme modify,attrib,move,close_write,create,delete,delete_self /srv/testSetting up watches. Beware: since -r was given, this may take a while!Watches established.123%inotifywait--exclude^/srv/test/(large|ignore)/-rmemodify,attrib,move,close_write,create,delete,delete_self/srv/testSettingupwatches.Beware:since-rwasgiven,thismaytakeawhile!Watchesestablished.上面的例子中在exclude选项的匹配串中我们使用了正则表达式因为我们不想将名称中含有large或ignore的文件也排除掉。我们可以测试一下% echo test /srv/test/action.txt% echo test /srv/test/large/no_action.txt% echo test /srv/test/ignore/no_action.txt% echo test /srv/test/large-name-but-action.txt1234%echotest/srv/test/action.txt%echotest/srv/test/large/no_action.txt%echotest/srv/test/ignore/no_action.txt%echotest/srv/test/large-name-but-action.txt这里inotifywait应该只会报告’action.txt’和’large-name-but-action.txt’两个文件的变化而忽略子文件夹’large’和’ignore’下的文件结果也确实如此/srv/test/ CREATE action.txt/srv/test/ MODIFY action.txt/srv/test/ CLOSE_WRITE,CLOSE action.txt/srv/test/ CREATE large-name-but-action.txt/srv/test/ MODIFY large-name-but-action.txt/srv/test/ CLOSE_WRITE,CLOSE large-name-but-action.txt123456/srv/test/CREATEaction.txt/srv/test/MODIFYaction.txt/srv/test/CLOSE_WRITE,CLOSEaction.txt/srv/test/CREATElarge-name-but-action.txt/srv/test/MODIFYlarge-name-but-action.txt/srv/test/CLOSE_WRITE,CLOSElarge-name-but-action.txt另外通过使用-t选项我们还可以定义inotifywait的监控时间既可以让它执行一段时间也可以让它一直运行。util-linux-ng的logger命令也可以实现此功能不过得先把相关的消息事件发送到syslog然后从syslog服务器再分析整合。Inotifywatch – 使用inotify来统计文件系统访问信息Inotify-tools中还有一个工具叫inotifywatch它会先监听文件系统的消息事件然后统计每个被监听文件或文件夹的消息事件之后输出统计信息。比如我们想知道某个文件夹上有那些操作% inotifywatch -v -e access -e modify -t 120 -r ~/InfoQEstablishing watches...Setting up watch(es) on /home/mika/InfoQOK, /home/mika/InfoQ is now being watched.Total of 58 watches.Finished establishing watches, now collecting statistics.Will listen for events for 120 seconds.total modify filename2 2 /home/mika/InfoQ/inotify/123456789%inotifywatch-v-eaccess-emodify-t120-r~/InfoQEstablishingwatches...Settingupwatch(es)on/home/mika/InfoQOK,/home/mika/InfoQisnowbeingwatched.Totalof58watches.Finishedestablishingwatches,nowcollectingstatistics.Willlistenforeventsfor120seconds.totalmodifyfilename22/home/mika/InfoQ/inotify/很显然这里我们监控的是~/InfoQ文件夹并且可以看到/home/mika/InfoQ/inotify上发生了两个事件。方法虽简单但却很有效。Inotify的配置选项使用Inotify时要特别注意内核中关于它的两个配置。首先/proc/sys/fs/inotify/max_user_instances 规定了每个用户所能创建的Inotify实例的上限其次/proc/sys/fs/inotify/max_user_watches规定了每个Inotify实例最多能关联几个监控(watch)。你可以很容易地试验在运行过程中达到上限如% inotifywait -r /Setting up watches. Beware: since -r was given, this may take a while!Failed to watch /; upper limit on inotify watches reached!Please increase the amount of inotify watches allowed per user via /proc/sys/fs/inotify/max_user_watches.1234%inotifywait-r/Settingupwatches.Beware:since-rwasgiven,thismaytakeawhile!Failedtowatch/;upperlimitoninotifywatchesreached!Pleaseincreasetheamountofinotifywatchesallowedperuservia/proc/sys/fs/inotify/max_user_watches.如果要改变这些配置只要向相应的文件写入新值即可如下所示# cat /proc/sys/fs/inotify/max_user_watches8192# echo 16000 /proc/sys/fs/inotify/max_user_watches# cat /proc/sys/fs/inotify/max_user_watches1600012345# cat /proc/sys/fs/inotify/max_user_watches8192# echo 16000 /proc/sys/fs/inotify/max_user_watches# cat /proc/sys/fs/inotify/max_user_watches16000使用Inotify的一些工具近一段时间出现了很多基于Inotify的超炫的工具如incron它是一个类似于cron的守护进程(daemon)传统的cron守护进程都是在规定的某个时间段内执行而incron由于使用了Inotify可以由事件触发执行。同时incron的安装简单而直观比如在debian上首先在/etc/incron.allow中添加使用incron的用户(debian默认不允许用户使用incron因为如果incron使用不慎的话例如形成死循环则会导致系统宕机)# echo username /etc/incron.allow1# echo username /etc/incron.allow然后调用”incrontab -e“, 在弹出的编辑器中插入我们自己的规则例如下面的这条简单的规则文件一变化incron就会发邮件通知我们/srv/test/ IN_CLOSE_WRITE mail -s $/$#\n root1/srv/test/IN_CLOSE_WRITEmail-s$/$#\nroot从现在开始一旦/src/test文件夹中的文件被修改就会发送一封邮件。但是注意不要让incron监控整个子目录树因为Inotify只关注inodes而不在乎是文件还是文件夹所以基于Inotify的软件都需要自己来处理/预防递归问题。关于incontab详细使用请参考incrontab的manpage。如果你还要处理incoming文件夹那么你可能需要inoticoming。当有文件进入incoming文件夹时Inoticoming就会执行某些动作从而可以用inoticoming来管理debian的软件仓库(例如软件仓库中一旦有上传源码包或是新添加的二进制包就立刻自动进行编译)另外还可以用它来监控系统是否有新上传文件如果有就发送通知。类似的工具还有(它们都各有专长)inosync(基于消息通知机制的文件夹同步服务)iwatch(基于Inotify的程序对文件系统进行实时监控)以及lsyncd(一个守护进程(daemon)使用rsync同步本地文件夹)。Inotify甚至对传统的Unix工具也进行了改进例如tail。使用inotail同时加上-f选项就可以取代每秒轮询文件的做法。此外GNU 的coreutils从版本7.5开始也支持Inotify了我们可以运行下面的命令来确认# strace -e inotify_init,inotify_add_watch tail -f ~log/syslog[...]inotify_init() 4inotify_add_watch(4, /var/log/syslog, IN_MODIFY|IN_ATTRIB|IN_DELETE_SELF|IN_MOVE_SELF) 11234# strace -e inotify_init,inotify_add_watch tail -f ~log/syslog[...]inotify_init()4inotify_add_watch(4,/var/log/syslog,IN_MODIFY|IN_ATTRIB|IN_DELETE_SELF|IN_MOVE_SELF)1从现在开始通过轮询来确实文件是否需要重新读取的方法应该作为古董了。在脚本中使用InotifyInotify机制并不局限于工具在脚本语言中也完全可以享受Inotify的乐趣如Python中可以使用pyinotify和inotifyxPerl中有Filesys-Notify-Simple和Linux-Inotify2Inotify的Ruby版有ruby-inotifyrb-inoty和fssm。总结综上所述Inotify为Linux提供了一套高效监控和跟踪文件变化的机制它可以实时地处理、调试以及监控文件变化而轮询是一种延迟机制。对于系统管理员关于实现事件驱动的服务如系统备份构建服务以及基于文件操作的程序调试等Inotify无疑提供了强大的支持。包子猜您可能还喜欢下列文章
