攻防演练,作为蓝方,ubuntu22.04的服务器 怎么检查文件是不是被修改或者被拷贝

最新推荐文章于 2024-07-08 22:09:55 发布
最新推荐文章于 2024-07-08 22:09:55 发布
阅读量372 收藏 1
点赞数 1
文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunyuhua_keyboard/article/details/137881821
版权

对于Ubuntu 22.04服务器,如果你作为蓝方需要检查文件是否被修改或者被拷贝,可以采用以下一些有效的方法来进行监控和检测:

1. 安装和配置 auditd

auditd 是 Linux 的一个核心组件,用于审计系统的活动,包括文件访问和修改。

  • 安装 Auditd:

    sudo apt update
sudo apt install auditd

  • 配置 Auditd 监控文件或目录:
    例如,如果你想监控 /etc/passwd 文件的所有读取和写入操作:

    sudo auditctl -w /etc/passwd -p wa -k passwd_changes

  • 查看审计日志:

    sudo ausearch -k passwd_changes

这样你可以看到所有标记为 passwd_changes 的相关活动,包括文件是否被读取或写入,从而判断文件是否可能被拷贝。

2. 使用 AIDE (Advanced Intrusion Detection Environment)

AIDE 是一个文件和目录完整性检查器,用于检测文件内容的更改。

  • 安装 AIDE:

    sudo apt install aide

  • 初始化 AIDE 数据库:
    在系统安全基线确定后进行初始化:

    sudo aideinit

    这会生成一个基础的数据库快照。

  • 定期进行文件完整性检查:

    sudo aide --check

    这会比较当前文件状态与基线快照,报告任何变化。

3. 系统日志分析

监控系统日志,尤其是 /var/log/auth.log/var/log/syslog,以便察觉任何不寻常的文件访问模式或外部连接。

4. 网络监控

使用工具如 Wireshark 或 tcpdump 来监控网络流量,特别关注异常的数据传输模式,这可能表明文件被拷贝到外部系统。

sudo tcpdump -i eth0

5. 配置文件访问权限

确保使用文件权限(使用 chmodchown 命令)和访问控制列表(使用 setfaclgetfacl 命令)来限制对敏感文件的访问。

通过这些方法的组合使用,可以有效地帮助你监控和检测Ubuntu 22.04服务器上的文件是否遭到未授权的修改或拷贝。这为你的服务器安全提供了多层次的保护。

MonkeyKing.sun
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
教你校验 Debian 软件包的MD5
流風餘韻的专栏
10-28 967
下载软件包时,你可能面临这些问题:网络连接不稳定或者突然断电,这会导致安装的软件包受到损坏。那么本文将指导你如何在Linux下生成MD5校验和并使用它来校验文件
红蓝对抗——蓝队手册.pdf
04-15
web安全的关注点会不同于渗透测试的团队,例如红蓝团队就会关注一些敏感文件泄漏、管理后台暴露、waf有效性、waf防御效果、违规使用的框架等。再例如办公网安全红蓝团队还会关注安全助手的一些问题,也就是说红蓝...
攻防演练,作为蓝方,centos的服务器 怎么检查文件是不是修改或者被拷贝
keyboard专栏
04-17 500
通过结合这些工具和策略,您可以有效地监控 CentOS 服务器上的关键文件是否遭到未授权的修改拷贝。是 Linux 下的一个用来审计系统使用情况的工具,可以用来监控对文件的访问、修改拷贝操作。确保使用文件权限和访问控制列表(ACLs)来限制对敏感文件的访问。AIDE 是一个文件和目录完整性检查器,它可以帮助你检测文件系统上的更改。您可以通过添加规则来监控文件的读取、写入和执行操作。这条命令会与之前的数据库状态比较,显示所有更改。)和其他应用日志来发现可疑活动。通过查看系统日志(如。
Linux 安全审计工具AuditUbuntu系统中安装
weixin_74824886的博客
01-28 853
3、查看当前auditd服务状态。开启auditd服务。在运行中即为安装完毕。
Linux 监控一个目录的变更
晓强的技术博客
11-03 2220
文件监控工具 inotify-tools在Linux下载并安装工具 inotify-tools 。Ubuntu 下安装:sudo apt-get install inotify-tools例子假设工程文件都放在 src/ 中,并且想监控此文件夹中的所有文件变更、创建、删除操作。main() { local folder="src/" local file_4_changes="/tmp/wat
大型红蓝攻防实战系列全景图.pptx
03-29
【红蓝攻防全景推演】是网络安全领域中一种模拟真实攻击与防御的演练方式,旨在提高组织的网络安全防御能力。这种推演涵盖了攻击面和暴露面的识别、边界突破与防护、横向渗透与区域控制、攻陷与强控等多个阶段,通过...
蓝方的进攻——进攻是最好的防守.pdf
08-08
攻防形式 战术 知己知彼 评估 总结
基于BP神经网络的蓝方分层智能决策模型设计.pdf
09-27
本文主要介绍了一种基于BP神经网络的蓝方分层智能决策模型设计,用于电子战模拟训练中的自动化、及时性和真实性决策。该模型旨在模拟蓝方在战场上的多层次决策过程,并根据战场态势变化做出有效应对。 BP神经网络是...
scratch编程项目源代码文件案例素材-红蓝大作战.zip
05-16
.sb2文件是Scratch项目的标准格式,可以被Scratch软件直接打开和编辑。它包含了舞台背景、角色图像、声音资源以及用积木块编写的控制逻辑。让我们深入探讨一下这个项目中可能涉及的一些核心编程知识点: 1. **角色...
如何检测文件内容是否改变?
you are sherlocked by me!
07-09 2521
如: python解释器解释pyc文件是否过: 在生成pyc文件的同时,写入了一个Long型的变量,用于记录最近修改的时间,每次载入都会检查py文件和pyc文件修改日期是否一致,不一致则生成新的 文件校验: 比如下载一些文件,包之类的会有md5或sha256校验值文件(文件名.sha256,文件名.md5等等),里面是校验值,我们可以将下载的文件用算法签名后与之对比来检测文件内容是否被篡改 git status判断文件内容是否被改变: 大概原理是先会比较文件修改时间,文件大小等一些文件元数据
Java - 校验文件内容是否修改
记录者的博客
08-13 1932
2024年HarmonyOS鸿蒙最全使用Typora添加数学公式_typora插入公式(3),HarmonyOS鸿蒙开发需要学什么
2401_84851624的博客
05-14 795
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。需要这份系统化的资料的朋友,可以戳这里获取一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!xdx\int_{1}^{2}{x}dx∫12​xdx | \int_{1}^{2}{x}dx |极限lim⁡ab\lim{a+b}lima+b | \lim{a+
aide访问本地html,Ubuntu系统用AIDE检查文件完整性
weixin_34233539的博客
06-28 525
by 人气:在许多可以应用于Ubuntu安全的方法中,有一种被称作文件完整性监视(文件完整性检验)。对关键的系统二进制文件和配置文件进行完整性监视和校验的目的是确保这些关键文件没有被进行未授权的改变。对系统特定文件的未授权改变是对系统进行攻击和危害活动的表现之一。文件完整性监视是一种积极的方法,可以使你及时了解到系统重要文件的改变。同大多数的工具一样,在GNU/Linux社区中,有许多不同的应...
判断文件是否被恶意篡改
zfx1997的博客
10-26 3056
在这里主要通过脚本来判断文件是否被修改,如果被修改,就进行警报:#!/bin/bash . /etc/init.d/functions numbers=`ls |wc -l` for i in $( seq 1 $numbers ) do file1=`ls /test/ | sed -n ${i}p` file2=` cat /txt | grep $file1 | awk '{
Auditd - Linux 服务器安全审计工具
闲云孤鹤
02-20 4420
首先,Linux中国祝贺读者 2015羊年春节快乐,万事如意! 。下面开始这个新年版审计工具的介绍。 安全防护是首先要考虑的问题。为了避免别人盗取我们的数据,我们需要时刻关注它。安全防护包括很多东西,审计是其中之一。 我们知道Linux系统上有一个叫 auditd 的审计工具。这个工具在大多数Linux操作系统中是默认安装的。那么auditd 是什么?该如何使用呢?下面我们开始介绍。
【Linux】进程间通信——匿名管道
最新发布
2201_76024104的博客
07-08 1149
1.:一个进程需要将它的数据发送给另一个进程,比如我们有两个进程,一个负责获取数据,另一个负责处理数据,这时第一个进程就要将获取到的数据交给第二个进程2.:多个进程间共享同样的资源3.:一个进程需要给其他进程发送消息,通知他们发生了某种事件4.:有些事件需要完全控制另一个进程,比如我们在使用gdb调试时,gdb就是一个进程,它控制了我们要调试的进程进程之前是有互相传递信息的需求,但是,一个进程不可能去另一个进程的地址空间中取信息,所以这就要求操作系统去提供一块交换数据的空间来供进程之间使用。
增加一个窗口显示“蓝色棋进入红方兽穴,蓝方胜”,该窗口展示在界面中间,且可以调节字号和窗口大小if (point.equals(DenRed)){ setBlueWins();System.out.println("蓝色棋进入红方兽穴,蓝方胜" );}
05-27
同时,新增的代码会弹出一个新的窗口,显示蓝方胜利的信息,并且该窗口会在屏幕中央显示,可以通过设置`setSize()`方法来调整窗口的大小,通过设置`setFont()`方法来调整文本的字号,以及通过设置`...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

MonkeyKing.sun

对你有帮助的话,可以打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值