linux 文件系统的监控

完整性检查是HIDS的重要组成部分之一，linux下做完整性检查的思路有3个

1、哈希对比

2、签名校验

3、inotify

方法有2个：

A、定期检测，例如通过cron或程序内置计时器

B、实时检测，inotify

1、2一般和A，3一般和B。用inotify做完整性检查的程序现在貌似还没现成比较好用的，谁推荐一个。

内核2.6.13以上，RHEL5默认支持inotify，RHEL4不确认这个功能是否有backport，查看英文原文：Inotify: Efficient, Real-Time Linux File System Event Monitoring。

 

作者 Michael Prokop 译者 张永利 发布于 2010年9月22日 上午12时0分

概要 – 为什么需要监控文件系统？

在日常工作中，人们往往需要知道在某些文件(夹)上都有那些变化，比如：

• 通知配置文件的改变
• 跟踪某些关键的系统文件的变化
• 监控某个分区磁盘的整体使用情况
• 系统崩溃时进行自动清理
• 自动触发备份进程
• 向服务器上传文件结束时发出通知

通常使用文件轮询的通知机制，但是这种机制只适用于经常改变的文件(因为它可以确保每过x秒就可以得到i/o)，其他情况下都非常低效，并且有时候会丢失某些类型的变化，例如文件的修改时间没有改变。像Tripwire这样的数据完整性系统，它们基于时间调度来跟踪文件变化，但是如果想实时监控文件的变化的话，那么时间调度就束手无策了。Inotify就这样应运而生了。本文将简要介绍inotify，告诉我们如何监控文件夹，如何一有变化就报告相关消息事件，并介绍了一些相关工具， 我们可以把它们添加到自己的工具箱中。

Inotify到底是什么？

Inotify是一种文件变化通知机制，Linux内核从2.6.13开始引入。在BSD和Mac OS系统中比较有名的是kqueue，它可以高效地实时跟踪Linux文件系统的变化。近些年来，以fsnotify作为后端，几乎所有的主流Linux发行版都支持Inotify机制。如何知道你的Linux内核是否支持Inotify机制呢？很简单，执行下面这条命令：