ubuntu inotify如何提升系统安全性

Ubuntu 中利用 inotify 提升系统安全性的实践

一安全价值与能力边界

inotify 是 Linux 内核自 2.6.13 起提供的文件系统事件机制，可细粒度监控如 IN_MODIFY、IN_CREATE、IN_DELETE、IN_ATTRIB、IN_MOVED_FROM/TO、IN_CLOSE_WRITE 等事件，用于实时发现关键目录与配置文件的异常变更。它高效、异步，适合做“文件完整性变动告警”和“可疑写入拦截”的触发器。
边界与定位：inotify 只能告诉你“哪个路径发生了什么事件”，不能直接识别是哪个进程或哪个用户触发的变更；若需“用户/进程溯源”，应与 auditd 联动使用。
适用场景：对 /etc、/usr/local/bin、/var/www、~/.ssh、/root 等敏感路径的变更进行实时告警或联动阻断，缩短入侵发现时间。

二快速落地方案

安装工具：在 Ubuntu 上安装命令行工具集 inotify-tools（提供 inotifywait/inotifywatch）。
最小可用监控脚本（记录变更并告警）：
- 监控关键目录，记录时间、路径、事件；对敏感扩展名（如 .so、.sh、.py）触发即时告警。
- 日志落盘并做权限收敛，避免被篡改。
示例（可直接改造上线）：
- 安装：sudo apt-get update && sudo apt-get install -y inotify-tools
- 监控脚本要点：
  - 事件集：-e modify,create,delete,attrib,move,close_write
  - 日志示例：/var/log/inotify_audit.log（建议 600 权限，root 属主）
  - 简单告警：检测到可疑后缀或 /etc/ 变更时 echo 到控制台并写入 syslog（logger）
运行方式：
- 前台调试：/path/monitor.sh
- 生产建议：nohup /path/monitor.sh & 或做成 systemd 服务（Restart=always，指定专用低权用户）。

三与 auditd 联动实现用户与进程溯源

仅靠 inotify 无法判定“谁改了文件”。使用 auditd 记录访问者身份，再用 inotify 触发“取证+告警”联动。
配置 auditd 规则（示例：监控某目录，仅记录普通用户）：
- /etc/audit/rules.d/audit.rules 中添加：
  - -a always,exit -F auid>=1000 -F auid!=4294967295 -F path=/path/to/target -k user_file_access
- 使配置生效：sudo systemctl restart auditd
在 inotify 事件处理中调用 ausearch -k user_file_access -ts recent 查询最近与该路径相关的审计记录，提取 auid 并映射为用户名，写入安全日志，实现“事件+身份”的闭环。

四性能与稳定性加固

五典型安全场景与事件选择

配置文件防篡改：监控 /etc 与关键应用配置目录，关注 IN_MODIFY、IN_ATTRIB、IN_MOVED_FROM/TO、IN_CREATE、IN_DELETE；变更即告警并留存取证信息。
Web 目录防挂马：监控 /var/www、/usr/share/nginx/html 等，重点 IN_CREATE、IN_CLOSE_WRITE（上传/写入可执行文件）与 IN_MOVED_TO（替换）。
认证密钥安全：监控 ~/.ssh/authorized_keys、/root/.ssh，对新增/替换立即告警。
可执行文件落地监控：监控 /usr/local/bin、/tmp、/dev/shm，对 IN_CLOSE_WRITE 的可疑二进制立即隔离并告警。
事件选择建议：优先组合 IN_MODIFY、IN_ATTRIB、IN_CREATE、IN_DELETE、IN_MOVED_FROM/TO、IN_CLOSE_WRITE，覆盖写入、属性变更、移动/重命名与关闭写入等关键动作。

最新问答