Rsync 使用关于检测系统完整性命令介绍

运维 系统运维
通常,文件系统的完整性检查是通过操作特定的安全工具来完成的,比如tripwire。这类工具的操作十分彻底,功能非常强大,并提供一系列 灵活的策略,来帮助系统管理员完成文件系统的完整性检测。

对系统管理员来说,可能由于诸多原因而倾向于采用另外的方法来完成完 整性检测。Rsync 使用工具就具备这个功能。它所具有的校验功能能够将原始文件和拷贝后的文件进行对比,可以判断并检查出哪些文件被改变,还 可以判断这些文件的更改操作是否合法,是否具备足够的授权。

对文件系统的完整性检测来说,Rsync 使用所做的第一件事情是为文件系统创建一份 快照。这必须在检查文件系统的完整性之前完成,因为必须有一份完好无缺的拷贝用于检查文件系统是否正确。


完成上述操作之后,在命令行简单地运行一条Rsync 使用复制命令。这里需要注意一下:为了确保所使用Rsync 使用版本不可被入侵者用于和他自己的版 本进行比较,这样文件系统的变化就无法被检测出,需要拷贝一个rsync的二进制文件版本(可能位于/usr/bin/rsync)到一个可写的媒介上,如 光盘上。然后,当使用rsync时,还需要指定rsync二进制文件位于哪个媒介上,而不是指向计算机上的某个版本。例如,如CD安装/mnt/cdrom ,运行如下命令,可从一台计算机上复制文件到另外一台主机上:
rsync -av --rsync-path=/mnt/cdrom/rsync -e ssh host:/ localdir


上述命令表示,从远端主机上复制整个文件系统(期望被检查的文件系统)到运行Rsync 使用所在机器的一个本地文件目录中,一旦拥有了文件系统 的快照,就可以使用如下的命令来检查文件系统的完整性了:
rsync -avn --rsync-path=/mnt/cdrom/rsync -e ssh host:/ localdir


前面提到的-n选项是用来确保没有任何文件被拷贝。而在Rsync 使用工具中则有所不同,它仅报告拷贝之前和拷贝之后的差别所在。如果不希望两者 间出现差别,就应该对它们进行仔细检查,确保没有发生未授权的更改。bin/ls, /bin/bash, 和/bin/sshd等文件若发生改变的话是需要特别 留意一下的,如果它们本来是不应该被更改的但却被改动了,这可能表示系统已遭受了某种安全威胁。但是,如果系统自动更新程序正在运行 ,这些文件被更新进程所改变就是很正常的了。因此,最好让更新程序做好日志记录,将那些更新进程替换过的包或文件都做好标记,再和 rsync的完整性检测报告中列出来的所有被更改过的文件进行对照,这样就可以检测出哪些文件已经被非法更改了。

【编辑推荐】

  1. rsync从linux到linux的文件同步备份
  2. Linux rsync同步由手动到自动
  3. 六一儿童节 向Windows 7 RC说再见
  4. CentOS系统如何解决鼠标花屏的问题
  5. 实操日记:Linux系统rsync配置和使用
     
责任编辑:chenqingxiang 来源: IT168
相关推荐

2010-06-01 18:11:25

Rsync 使用

2010-06-01 18:14:55

Rsync 使用

2010-06-17 14:54:08

Rsync 使用

2010-06-17 14:31:10

Rsync 使用

2010-06-01 16:46:38

Rsync 命令

2010-06-01 18:03:05

Rsync 使用

2010-04-14 09:28:44

Unix操作系统

2021-11-02 11:55:07

macOS macOS Monte漏洞

2010-06-01 17:44:14

Rsync 使用

2020-01-13 09:00:00

OsqueryLinux监控文件

2021-02-24 13:38:46

MicrosoftLinux更新

2022-07-14 14:00:01

Linux命令解析

2015-03-12 15:44:59

2018-06-22 23:14:19

完整性监测FIM信息安全

2023-02-06 00:26:02

2010-04-22 12:51:59

Aix操作系统命令

2017-03-01 12:19:17

rsync Linux系统

2010-02-26 15:41:16

WCF分布事务

2023-03-17 16:32:51

测试软件开发

2010-06-13 15:46:41

Grub Rescue
点赞
收藏

51CTO技术栈公众号