Ru-Board.club
← Вернуться в раздел «UNIX»

» Слежение за изменением файлов и директорий

Автор: SergeyKulikov
Дата сообщения: 09.02.2011 20:58
Подскажите, пожалуйста, как решить мою задачу

Я хочу контролировать у себя на сервере за "Созданием / Модификацией / Удалением" файлов и папок,
а также смены для них "времени создания / времени модификации / времени доступа / прав CHMOD / владельца / группы и др."

Может быть уже есть какие-то решения подобных задач для FreeBSD?
Я так понял, то, что мне надо, называется: Ревизор
Для Windows есть было что-то подобное: Kaspersky Inspector и ADinf
Очень прошу помочь мне.

Заранее большое спасибо всем, кто проявит желание помочь.

P.S.
Создавал уже такую же тему на другом форуме, но так и не решил проблему
Автор: Alukardd
Дата сообщения: 09.02.2011 22:49
SergeyKulikov
пользуйтесь мощью kqueue. Это аналог inotify (Linux) для FreeBSD.
хз как там во фре, но в лине его используют через incron...
Автор: bga83
Дата сообщения: 10.02.2011 08:58
SergeyKulikov
посмотри Tripwire
Автор: Alukardd
Дата сообщения: 10.02.2011 11:31
bga83
Цитата:
посмотри Tripwire
он не для этого
это программа контроля целостности файлов, ей надо передать список файлов за которыми следует следить...
Автор: SergeyKulikov
Дата сообщения: 11.02.2011 20:35

Цитата:
он не для этого

Почему же не для этого? Как раз для этого. Про эту программу я знаю. Есть её бесплатный аналог AIDE.
Я же давал ссылку, в первом сообщении, где я описываю все эти программы.


Цитата:
ей надо передать список файлов за которыми следует следить...

Программа сама создаёт этот список с указанным мной шаблоном атрибутов, которые следует учитывать.

Alukardd, как Вы в Linux даете программе incron указание, какие файлы и папки учитывать, а какие - нет. А также какие атрибуты учитывать. Как Вы это делаете?

Можно, пожалуйста, подробнее, а не только названия программ
Кто как решает эту проблему?
Автор: Alukardd
Дата сообщения: 11.02.2011 22:07
SergeyKulikov
во первых я не пользуюсь платными продуктами за исключением самой винды и офиса (и то это у юзеров) я только серверные оси.
у tripwire 2 направления они разделились в 1999году. Я использую тот, что open source.

Про incron есть косяк - он не умеет работать рекурсивно.
Так что можно поставить inotify-tools и использовать следующую конструкцию:
inotifywait --timefmt '[%d.%m.%Y %k:%M:%S] ' --format '%T %w%f %,e' -mr /root/folder/
специально для вас написал) хоть что-то для себя новое узнал. у команды inotifywait тоже есть ограничения она не может следить сразу за / - для неё это слишком большое колличетсво файлов (какой предел я не знаю. но его не хаватает). И если ставить следить за чем-то огрмным типа /var то ему потребуется пара секунд что бы установить соответствующие триггеры. Например, что бы начать следить за /usr моему корчу потребовалось 15-20секунд... и вероятно это немного замедляет работу системы. Точных данных не приведу.
у incron синтаксис похож но работает он только в пределах одной директории. ставим incron и вводим команду (аналогично с cron) incrontab -e и пишем туды:
/root/folder/ IN_ALL_EVENTS /root/monitor2.sh $@ $# $%
далее создаем простенький скрипт monitor2.sh:
#!/bin/sh
echo `date` $1$2 - $3 >> /root/see.log
вообще должно быть можно эту строку вызвать сразу вместо скрипта из incrontab, но у меня были с этим проблемы и я решил их через вызов скрипта.
Автор: SergeyKulikov
Дата сообщения: 12.02.2011 17:15
Alukardd, большое спасибо за ответы


Цитата:
у tripwire 2 направления они разделились в 1999году. Я использую тот, что open source.

Да, про это я читал. Теперь выходит есть бесплатная версия и платная. Но сколько стоит платная и делает ли она то же самое, что и старая (бесплатная) я не смог понять
Если продукт качественный и хорошо будет делать слежку, то я с радостью заплачу за приобретение такой программы.

Я попробовал использовать программу AIDE
Понравилось, вроде разобрался. Но в пакетах FreeBSD есть очень старая версия.
А реально уже есть версия aide-0.15.1.tar.gz
Я только начал изучать FreeBSD и у меня пока не получается скомпилировать из исходников. Постоянно какие-то ошибки. Наверное надо написать в поддержку FreeBSD, чтобы добавили в пакеты новую версию этой программы AIDE. Даже заплатил бы за это.

Старая версия AIDE умеет всё, кроме отправлять уведомления на емейл

Я так понял, kqueue для FreeBSD и inotify для Linux - эти программы мгновенно могут отслеживать изменения. А вот программы AIDE и Tripwire и другие подобные программы отслеживают изменения лишь запускаясь в указанный интервал времени и проверяя всё заново по списку.

Например, программы AIDE и Tripwire не смогут отследить появление файла, если его залили и сразу же удалили. А вот kqueue и inotify смогли бы. Но к сожалению я в программировании очень слаб.

Мне нужно готовое решение
Автор: Alukardd
Дата сообщения: 12.02.2011 23:30
SergeyKulikov
я ж вам написал вполне себе жизененый пример, его только чутка допилить... Но дело ваше.
Меня Open Source TripWire очень даже устраивает, хотя конфигурирование мне его не нравится...
Удачи в учении...
Я тоже изначально жаждю коробочного решения, но как только углубляюсь в тот или иной вопрос и понимаю суть функционирования процессов, то прихожу к мысли что либо надо под себя допиливать готовые решения либо писать скрипты на основе системных утилит.
Автор: SergeyKulikov
Дата сообщения: 17.02.2011 12:32

Цитата:
я ж вам написал вполне себе жизненный пример, его только чутка допилить...
Спасибо большое

Может быть кто-то еще может что-то посоветовать под FreeBSD или научить (за оплату), как это сделать через kqueue или какие-то другие способы

Страницы: 1

Предыдущая тема: Disable gratuitous ARP request in Linux


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.