CentOS 7 安裝 AFICK – 檔案目錄監控 (更新內容 – 2018/12/12)

心得:

網頁目錄通常是最容易被攻擊的對象之一,也因此為了安全起見

可以每天監控特定的目錄,比對有哪些檔案異動、新增或刪除

是個相當實用的功能,不過安全要先從人做起

適當給予檔案目錄權限會是安全的基礎

這時候監控檔案目錄則多一層安全性,給予更多的保障

說明:
AFICK 全名為: Another File Integrity ChecKer

此軟體為檔案目錄監控軟體,大致就是監控系統檔案本身的工具
譬如網頁檔案的資料夾,系統的設定檔、執行檔
最重要的是使用方式簡單,也能配合Mail寄信通知

AFICK 官方網站

安裝:
首先到以下地方下載符合您系統的安裝檔案
AFICK 軟體下載

這邊使用的是系統為CentOS 7,使用 afick-3.5.2-1.noarch.rpm
放到系統上進行安裝即可,可以用 rpm 或 yum
看起來是基於 perl

# yum install perl-Digest-MD5# yum install afick-3.5.2-1.noarch.rpm

設定:
安裝完成後,先修改設定檔,符合自己所需

# vim /etc/afick.conf

首先找到以下

# used by cron job (afick_cron)
# define the mail adress to send cron job result
@@define MAILTO [your mail address]

修改成您的Mail address,這樣就能收到報告

記得安裝mailx,並搭配公司內部mail server進行發信
關於mail設定smtp部分,往後有機會可以再提一下

之後可以排除非必要監控檔案,可以用regex、副檔名,開頭名等等
不過我個人想法是覺得,如果需要監控的地方就不需要設定排除
畢竟就理論上來說,放置網頁或相關程式的資料夾變動本來就不多
或許事先在網頁程式這塊先區分好路徑,搭配此監控設定,比較符合實際情形

在以下這段開始增加:

# 3 syntaxe are available :
# file action
# to scan a file/directory with "action" parameters
# ! file
# to remove file from scan
# = directory action
# to scan the directory but not sub-directories
# file with blank character have to be quoted
#
# action is the list of attribute used to detect a change

/usr/local/tomcat/tomcat/webapps DIR
/var/www/html DIR

然後往下會看到很多預設的設定,可以選擇註解掉或是保留

就看 afick 在你的單位定位是什麼,如果單純監控檔案目錄

可以選擇註解掉之後,僅保留想監控的目錄即可

這邊就讓afick單純監控/var/www/html以及/usr/local/tomcat/tomcat/webapps

使用:

初始化 afick

# afick -c /etc/afick.conf -init

進行比較

# afick -c /etc/afick.conf -k

進行比較並更新資料庫

# afick -c afick.conf --update

預設每天已經執行一次,可以看到以下執行檔

/etc/cron.daily/afick_cron

假如您需要增加執行次數,直接將檔案移動到想要的地方
於 cronjob 寫入所需時間即可,譬如每小時一次

# crontab -e

加入

* 01 * * * /bin/bash /root/bin/afick_cron

這樣就完成每小時檢查檔案完整性,不過我認為每天一次就已經足夠了

廣告

對「CentOS 7 安裝 AFICK – 檔案目錄監控 (更新內容 – 2018/12/12)」的一則回應

  1. 引用通告: 資安 | Ease simple

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com 標誌

您的留言將使用 WordPress.com 帳號。 登出 /  變更 )

Google+ photo

您的留言將使用 Google+ 帳號。 登出 /  變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 /  變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 /  變更 )

連結到 %s