一、需求有客户等保需求对文件一致性进行校验,想到利用md5sum工具,因此写脚本来对文件进行自定义扫描,后期可以利用其进行校验,快速校验文件发现变更的文件,一定程度及时发现文件变更,或者入侵行为。二、脚本利用md5sum将扫描得到的文件保存在/tmp目录下,后缀为时间戳,后期可以利用此文件进行校验 git地址#!/bin/bash
#func:scan file
#md5sum -c $SCAN_FILE
SCAN_DIR=`echo $PATH |sed 's/:/ /g'`
SCAN_CMD=`which md5sum`
SCAN_FILE_FAIL="/tmp/scan_$(date +%F%H%m)_fall.txt"
SCAN_FILE_BIN="/tmp/scan_$(date +%F%H%m)_bin.txt"
scan_fall_disk() {
echo "正在全盘扫描,请稍等!文件路径:$SCAN_FILE_FALL"
find / -type f ! -path "/proc/*" -exec $SCAN_CMD {} ;>> $SCAN_FILE_FAIL 2>/dev/null
echo "扫描完成,可利用以下命令后期对文件进行校验"
echo "$SCAN_CMD -c $SCAN_FILE_FAIL |grep -v 'OK#39;"
}
scan_bin() {
echo "正在扫描$PATH可执行文件,请稍等,文件路径:$SCAN_FILE_BIN"
for file in $SCAN_DIR
do
find $file -type f -exec $SCAN_CMD {} ;>> $SCAN_FILE_BIN 2>/dev/null
done
echo "扫描完成,可利用以下命令后期对文件进行校验"
echo "$SCAN_CMD -c $SCAN_FILE_BIN |grep -v 'OK#39;"
}
clear
echo "##########################################"
echo "# #"
echo "# 利用md5sum对文件进行校验 #"
echo "# #"
echo "##########################################"
echo "1: 全盘扫描"
echo "2: bin path扫描"
echo "3: EXIT"
# 选择扫描方式
read -p "Please input your choice:" method
case $method in
1)
scan_fall_disk;;
2)
scan_bin;;
3)
echo "you choce channel!" && exit 1;;
*)
echo "input Error! Place input{1|2|3}" && exit 0;;
esac
复制代码三、测试扫描二进制可执行文件 由于可执行文件异常敏感,如果系统可能有将自己的程序放在可行性路径下,或替换原有二进制文件,对$PATH目录进行扫描 将wc 文件移动到其他路径,或按照其他程序,二进制文件有变化就可以检测出来全盘扫描四、扩展可以修改其中的路径,更改为自己的扫描路径即可可以利用类似的其他工具也可以进行扫描后期可以配合定时任务,甚至表报,告警等功能,及时主动监测系统文件异常。
本文出自快速备案,转载时请注明出处及相应链接。
