**1.给重要的文件或者命令做一个指纹\校验
在修改文件前 给当前的文件做一个校验值
当文件被修改 校验值也会发生变化
文件不被修改 校验值不会发生变化**
格式:
//给文件写指纹
md5sum file.txt
//将指纹放入/data文件
md5sum file.txt > /data
//检查/data中的指纹是不是最新的,或者验证文件是否改变
md5sum --check /data
====md5sum -c /data
注意事项:
1)在什么情况下使用MD5校验值
网站代码 对外提供访问的 重要的系统文件 重要的服务配置文件
2)注意路径问题
3)在做监测的时候 要清楚是内部人员修改还是外部人员修改
4)什么情况下修改重要的网站代码 内部人员修改(代码上线)
在新功能上线的情况下 或者是补BUG的情况
需要对MD5指纹库 重新做校验(把修改后的文件重新做MD5校验放入police.txt)
[root@oldboyedu-lnb ~]# md5sum -c police.txt
oldboy.txt: FAILED
md5sum: WARNING: 1 computed checksum did NOT match
[root@oldboyedu-lnb ~]# md5sum oldboy.txt > police.txt
[root@oldboyedu-lnb ~]# md5sum -c police.txt
oldboy.txt: OK
5)如果是黑客修改了我们的代码 导致检测失败
- 代码必须有备份 最新的备份
- 把被篡改的文件移动到/tmp下 保留证据
- 把最新的备份文件移动到站点目录(用户可访问的目录) 快速恢复业务
6)批量做指纹验证
[root@oldboyedu-lnb alex]# md5sum *.txt > /root/police.txt
[root@oldboyedu-lnb alex]# md5sum -c /root/police.txt
1.txt: OK
2.txt: OK
3.txt: OK
批量做指纹方法二:重要
[root@oldboyedu-lnb alex]# find /root/alex/ -type f | xargs md5sum > /root/police.txt
[root@oldboyedu-lnb alex]# md5sum -c /root/police.txt
/root/alex/1.txt: OK
/root/alex/2.txt: OK
/root/alex/3.txt: OK
/root/alex/4.txt: OK
/root/alex/5.txt: OK