存档

文章标签 ‘Linux HIDS’

linux下使用inotify实时监控文件变更,做完整性检查

2011年1月25日 2 条评论

完整性检查是HIDS的重要组成部分之一,linux下做完整性检查的思路有3个

1、哈希对比

2、签名校验

3、inotify

方法有2个:

A、定期检测,例如通过cron或程序内置计时器

B、实时检测,inotify

1、2一般和A,3一般和B。用inotify做完整性检查的程序现在貌似还没现成比较好用的,谁推荐一个。

内核2.6.13以上,RHEL5默认支持inotify,RHEL4不确认这个功能是否有backport,查看英文原文:Inotify: Efficient, Real-Time Linux File System Event Monitoring

阅读全文…