1. 实时监控关键文件与目录,快速识别未授权变更
通过inotifywait工具监控系统关键文件(如/etc/passwd、/etc/shadow、/etc/sudoers)和重要目录(如/etc/、/usr/bin/、/var/log/),设置监控事件类型为create(创建)、modify(修改)、delete(删除)、attrib(属性变更)。例如,使用命令inotifywait -m -r -e create,modify,delete /etc/递归监控/etc/目录,当有未授权文件变更时,系统会立即输出事件信息,帮助管理员快速定位潜在入侵行为(如恶意修改配置文件、植入后门程序)。
2. 构建入侵检测与告警机制,实现主动响应
结合Shell脚本分析inotifywait的输出,识别异常行为(如短时间内大量文件修改、非工作时间文件变更),并通过邮件、短信等方式触发告警。例如,编写脚本监控/tmp/目录(常见恶意文件放置路径),当检测到新文件创建时,自动发送邮件通知管理员:inotifywait -m -e create /tmp | while read file; do echo "异常文件创建: $file" | mail -s "安全告警" admin@example.com; done。部分高级场景可联动防火墙(如ufw)自动阻断可疑IP的网络连接,进一步提升响应速度。
3. 自动化执行修复操作,降低安全事件影响
通过脚本在检测到安全事件时自动执行预定义修复动作,减少人工干预延迟。例如,监控/etc/nginx/nginx.conf(Web服务器配置文件),当文件被修改时,自动备份原文件并重启Nginx服务:inotifywait -m -e modify /etc/nginx/nginx.conf | while read file; do cp $file /backup/nginx.conf.$(date +%F_%T); systemctl restart nginx; done。这种机制可快速恢复被篡改的配置,防止恶意配置生效(如开放未授权端口、修改权限设置)。
4. 关联日志审计与用户追踪,精准定位责任
监控系统日志文件(如/var/log/auth.log,记录登录、权限变更等操作),结合auditd工具(Linux审计框架)实现用户行为的精准追踪。例如,配置auditd规则监控/etc/sudoers文件的访问:-w /etc/sudoers -p wa -k sudoers_changes(-w指定监控路径,-p设置权限监控为写和属性变更,-k添加自定义标签),当文件被修改时,auditd会记录操作用户和时间戳。通过ausearch命令查看日志:sudo ausearch -k sudoers_changes,可快速定位是哪个用户进行了修改,便于后续责任追究。
5. 优化资源限制,避免监控过度影响系统性能
调整内核参数限制inotify的监控范围,防止因监控过多文件导致系统资源耗尽(如CPU、内存占用过高)。关键参数位于/proc/sys/fs/inotify/目录:
max_user_watches:单个用户可监控的最大文件数量(默认约8192),若需监控大量文件(如超过10万),可调整为65536:echo 65536 | sudo tee /proc/sys/fs/inotify/max_user_watches;max_user_instances:单个用户可运行的inotify实例数量(默认128),可根据需求调整;max_queued_events:inotify队列最大事件数(默认16384),避免事件堆积导致丢失。
