黑客可能因為一些目的,而攻擊您的服務器。常見的比如政府的官方網站首頁被篡改。
不常見的比如維基解密創始人朱利安·阿桑奇曾入侵美國國防部等政府機構的網站,控制其兩年之久才被發現。
黑客一般入侵之後會修改您的系統文件,為自己留下後門。下次不用再輸入密碼就能夠登錄。
比如登錄程序:/bin/login文件。
或者修改/bin/ps文件,隱藏自己的木馬進程。
為了發現這些系統文件是不是被篡改了,或者您的網站文件是不是被篡改了。
您就需要借助工具來發現它們。
通過此防篡改功能,可以快速的發現並還原它們。
再通過上面的進程監控功能,您可以有效的定位到木馬程序,並清除它們。
並且您可以通過木馬進程的id,在端口監控中鎖定到是哪一台計算機在使用它們。
數據源配置
如果您是第一次使用此功能,請點擊“設置數據源”按鈕。
數據源是指您要防篡改的文件夾的備份源。
數據源分為兩種類型:FTP、光盤或本地目錄,只能選擇其中的一種方式。
例如:
選擇FTP類型,
連接地址是FTP服務器的IP,(請保證被監控Linux機可以訪問這個地址)
填寫完登錄用戶、登錄密碼後,點“測試”就可以測試Linux機是否可以訪問這個地址,並且驗證了用戶名、密碼。
指定目錄:比如我將各個要備份的文件夾都放在FTP的/TamperBackup/目錄下,“/”表示用登錄用戶名剛登錄成功時的路徑。
選擇光盤或本地目錄時,界面如下:
本文URL地址:http://www.bianceng.cn/OS/Linux/201410/45347.htm
本地路徑中,填寫Linux機上的備份路徑。這裡舉例是光盤的路徑。
全部設定好後,點“保存配置”按鈕。這會將您的配置,保存到Linux機上。
然後,關閉它。再點主界面上的“讀取”按鈕。
數據源框中就會顯示,您已經保存好的配置信息。並提示是否測試FTP連接。
選是就立刻測試,並返回結果。
數據源就設置好了,下面配置方案。
方案配置
點主界面上的“設置方案”按鈕。出現防篡改方案對話框。
首先,點方案列表下面的“添加”按鈕,添加一個主方案。
方案ID被自動填寫,不能修改。
目標文件夾:即要被監控的文件夾。
數據源相對文件夾:也就是上面數據源目錄下的哪個目錄。
例如:
上面數據源是FTP的/TamperBackup/目錄,
那麼這裡指的就是FTP的/TamperBackup/LinuxSysMonitor/目錄是/root/LinuxSysMonitor/的備份目錄。
檢查鎖定:控制監控時是否比對方案條目中的文件物理屬性鎖定狀態,鉤上表示檢查。
點確定後,插入到方案列表中。檢查鎖定狀態將花去比較多的時間。
本文URL地址:http://www.bianceng.cn/OS/Linux/201410/45347.htm
選中某一個方案,可以修改和移除方案。移除時,必須保證此主方案下沒有子條目了。
還可以在下面給它添加子條目。
點方案條目下的添加按鈕,打開添加對話框。
查找框中不填寫,表示查找全部。
如果填寫表示指定查找,在添加常用中可以下拉選擇您想篩選的文件類型,多個項以空格隔開 *開頭表示模糊查找。
填寫好後,點擊“開始掃描”按鈕。
您還可以選擇在監控時,是否需要比較大小,或比較md5碼。
需要就打上鉤。掃描時,會將這些信息都掃描到下面的列表中去。
如果兩項都選,比對時md5碼優先與文件大小。
在掃描狀態中顯示的是掃描的過程與結果,這裡顯示。
掃描完成共1872文件其中198文件夾大小65.86 mB用時2秒
一共掃出來1872個文件(包括的文件夾數),
其中有198個是文件夾,總大小是65.86兆。
用時2秒,並不是真正的掃描花了2秒,而加上了信息傳送和界面動態顯示的總時間。
實際掃描速度遠快於這個時間。
注:請不要用此功能對“/”根目錄進行掃描,因為文件數太多,掃描到第30萬個文件時會因客戶端虛擬機內存滿了無法繼續。
下面有4個按鈕方便您對掃描結果列表進行操作。
“查找”是指在結果中快速定位查找。
“移除”是指從結果中刪除某選中行。
“全部移到方案中”是指您已經編輯好這些項之後,把它們移動主界面的方案條目列表中去。
“移除”是指您對掃描的結果不滿意,需求清空它們,重新掃描。
對於掃描結果中的每一行,點擊右鍵可以選擇菜單。
“鎖住”是指設置文件物理屬性為鎖定狀態。(方案中的檢查鎖定設為是時生效)
“不鎖”是指設置文件物理屬性為非鎖定狀態。(方案中的檢查鎖定設為是時生效)
如果物理屬性為鎖定,root用戶也將不能修改刪除此文件。除非他用root權限解鎖。
方案中設為檢查,這裡選擇的鎖住。在控制監控時,將比對文件物理屬性鎖定狀態,如果與設定的不一致就修改成一致的。(否:解鎖,是:上鎖)
“自動還原”是指如果監控時發現文件被修改了,立刻將它從備份中還原。
“不還原只警告”是指如果監控時發現文件被修改了,不還原它,只提示出來。
以上4個選項只能對文件項設定。
“全鎖住”打鉤,是將列表中的文件項,全部設為鎖住。
我們點“全部移到方案中”,在主界面的方案條目列表中就插入了它們。
本文URL地址:http://www.bianceng.cn/OS/Linux/201410/45347.htm
然後,點擊“保存方案”按鈕。這會將您的配置,保存到Linux機上。
然後,關閉它。再點主界面上的“讀取”按鈕。
在方案數框中,就會顯示,您已經保存好的配置信息。
方案就設置好了,下面做完整性檢查。
完整性檢查
完整性檢查是查找,被監控的條目,與數據源上的這些條目的備份文件都是不是存在。
如果不存在將報錯。
完整性檢查是比較花時間的。此步驟為非必須。
如果檢查成功,在下面的運行情況中會顯示:
完整性檢查完畢!
啟動與停止監控
啟動監控:啟動時,會打開一個啟動設置的對話框詢問您要啟動監控的線程個數,單個文件掃完的休眠時間和每輪掃描完的休眠時間。
一般啟動線程數不用設得太大,線程的多少與掃描速度和還原速度有關。
另每多一個線程,需要FTP多打開一個連接數。
為了讓您的cpu得到休息,可以設定單個文件掃完的休眠時間和每輪掃描完的休眠時間。
都是以毫秒計算。您在啟動之後,可以在“匯總”界面中看看cpu的使用情況,把它們調到理想狀態。
下面我以10個線程數,1886個條目為例啟動。
掃完一個輪詢用時是376毫秒(包括了md5碼比對)。
也就是說,速度是5個文件/毫秒。
再做一個實驗,只啟動1個線程,一個輪詢用時389毫秒,相差不大。
因為中間沒有休眠,無論是一個線程還是多個線程都在搶占cpu時間,cpu滿負荷運行。
所以它們幾乎是等效,但這樣做對於cpu占用太多,對cpu不能有效的保護。
作者建議每掃完一個休眠時間填大於0的值,讓cpu得到休息。
且多個線程的還原速度,絕對優於1個線程。
因為1個線程在還原時,其它線程都在繼續做其它的任務。
通過上面的測試,我們發現掃描得太快了。那麼,可以讓它們休息一下。
如果只啟動1個線程,掃描完一個文件休眠10毫秒,結果如下:
監控正在運行中,上次掃描用時21秒404毫秒
如果啟動10個線程,掃描完一個文件休眠10毫秒,結果如下。
監控正在運行中,上次掃描用時02秒341毫秒
這樣,速度下來了,cpu也得到了好的保護。
2秒掃描,加上1秒的輪詢休眠時間,一共3秒鐘就比對完了一遍。
本文URL地址:http://www.bianceng.cn/OS/Linux/201410/45347.htm
下面做一個文件被替換的測試:
將一個日志文件修改掉後,右下角顯示一個文件篡改提示的小窗口,點擊窗口中的按鈕,
對應的Linux監控主界面被顯示出來,如果顯示的不是“防篡改”界面,會自動跳到“防篡改”界面。
運行情況框中顯示出下面的信息。
發現文件md5碼與配置中的不一致:
primary=faffe8b242d7d0602a9062653e8cb284 now=d21d63d0105e8f5288e041d5326f5bad /root/LinuxSysMonitor/bin/error.log.2013-06-16
--------------------------------------------------
還原文件成功:
/root/LinuxSysMonitor/bin/error.log.2013-06-16
Ftp備份路徑:/TamperBackup/LinuxSysMonitor/bin/error.log.2013-06-16
--------------------------------------------------
注:如果刪除了文件夾,會把文件夾裡的設定為自動還原的條目都還原。
啟動之後,關閉了客戶端,不影響防篡改監控的運行,下次打開客戶端,還是會看到它的運行情況,而不用再點啟動按鈕。
停止監控:點擊“停止監控”按鈕,等待1-2秒之後,運行情況框中顯示,監控已停止的信息。並且“停止監控”按鈕,變成了“啟動監控”按鈕。
