Instrumentation rendszergazda érvényesítési rendszer konfiguráció
Erről a sorozat
Jellemzően, UNIX rendszergazda rendszeresen használ egy sor eszközök, technikák és rendszerek. Egyszerűsítése különböző folyamatok szabványos eszközökkel, parancssori felület és script. Néhány ilyen eszközök jön az operációs rendszer, de a legtöbb trükköt jöjjön át éves tapasztalat és a vágy, hogy egyszerűsítse az életüket rendszergazda. E sorozat -, hogy elmondja a legtöbb rendelkezésre álló eszközöket a különböző UNIX-alapú rendszerek, beleértve a segítségével az adminisztráció egyszerűsítése a heterogén környezetekben.
Tartalmának ellenőrzése fájlok
Ellenőrzése a konfigurációs fájlokat (és ha szükséges, az alkalmazás fájljait), amelyek alapján a UNIX-rendszer, és biztosítja annak zavartalan működését, akkor is időigényes. Ezen túlmenően, ez az eljárás egyik legfontosabb eleme a biztonság, nem csak mely helyes rendszer beállításait, és ellenőrzi, hogy a biztonsági rendszer nagyon megbízható.
Szóval, hogyan lehet ellenőrizni a fájl tartalmát?
Számos paramétert kell figyelembe venni. Mindegyik alább felsorolt gondokat okoz, ha változtak az aktív konfiguráció:
- fájl tartalmát;
- tulajdonosa a fájlt;
- csoport tulajdonosa;
- fájl jogosultságokat
- a változás;
- ideje a teremtés.
A legegyszerűbb módja -, hogy megment egy másolatot a konfigurációs fájlok (és azok paramétereit) egy másik számítógépre, majd rendszeresen össze helyi fájlok távoli. A probléma az, hogy ahhoz, hogy egy példányával a konfigurációs fájlok igényel jelentős fogyasztása lemezterület, és magát és összehasonlítása eljárást lehet elég hosszú ideig. Ezen túlmenően, a felvétel másolatát maguk konfigurációs fájlok változhat.
Egy másik gyakran használt módszer - ez egyszerűen csak bekerül a fájl mérete, módosítás dátuma, zászló és a tulajdonos. Mivel ez az információ vesz fel sokkal kevesebb helyet foglal, könnyebb tárolni és gyorsan ellenőrizte, összehasonlítva a teljes tartalmát a fájlokat.
A probléma az, hogy a fájl mérete nem garantálja a biztonságot a fájl tartalmát. Tekintsük ezt a konfigurációs fájlt, amely egy sor:
És ugyanazt a fájlt a megváltoztatott sor:
Mindkét fájl vonalak hossza 22 karakter, de a tartalma eltérő, és bár a fájl mérete ellenőrzés nem tárt fel a különbség, ez egy viszonylag ártatlan változás komoly következményekkel járhat.
Mint a többi paramétert, az idő változása, zászló és egyéb információk is módosítható, például, akkor cserélje ki a változást, segítségével a touch parancs. Még létrehozása a fájl lehet hamis változtatásával a rendszer időt és megteremti újra a fájlt.
Nem elég, ha csak írni ezeket az információkat kell egy hatékony módszer összehasonlítása a fájl tartalmát. Talán a legjobb módja, hogy használja ezt a fájlt ellenőrző összegeket.
ellenőrző fájl
Létrehozása ellenőrző fájlokat - ez egy klasszikus módon összehasonlítani a fájlok tartalmát anélkül, hogy szükség van egy fizikai összehasonlítását minden bájt minden fájlt.
Ellenőrző mechanizmus alapján a fájl tartalmát feldolgozó és a termelő szinte egyedülálló ujjlenyomat a tartalom. Ez a feladat elvégezhető különböző módokon. Például, lehet hozzá az érték az egyes bájt együtt használata a algoritmus kiszámításához használt komplex egyes bitek vagy csoportok bit előre meghatározott fájl. A végső döntés a számítási módszere az ellenőrző túlmutat e cikk függ ellenőrző használt eszközöket.
A UNIX, van egy egyszerű parancs, hogy működjön együtt az ellenőrző összegeket - összeget. Ez a parancs nagyon korlátozott képességeit, de ez teremt egészen egyedi szám, amelyet fel lehet használni közötti különbségek kimutatásához a többség a fájlokat. Azonban ez az algoritmus is vannak korlátai. Sok modern programok támogatják md5 parancsot. amely létrehoz egy 128 bites fájl védjegy és elméletileg létrehoz egy egyedi jelzést bármilyen fájl minden méretben.
MD5 algoritmus generál információt az ellenőrző eredetileg tervezték, hogy hozzon létre egy egyedi fájl titkosító nyomtatni fájlokat érdekében integritásának ellenőrzése kódolt fájlokat. Ellenőrzőösszegek segítségével md5 lehet egy bináris sztring, hexadecimális karakterlánc vagy húrok által kódolt base64. Az utóbbi formátumot használják elemzés MIME-üzenetek e-mail, hogy egy egyedi azonosítót különböző beruházásokra.
Létrehozása ellenőrző fájl
Mivel a döntés, hogy működjön együtt tájékoztatást ellenőrzőösszegeket a parancssori felület, akkor létrehozhat egy ellenőrző bármely fájl közvetlenül a parancssorból. Egy jó példa egy ellenőrző lehet a fent említett fájlok, amelyek az azonos hosszúságú, de eltérő tartalommal.
Tudod teremt egy ellenőrző a két fájlt, egyetlen paranccsal, amint az 1. lista.
1. lista létrehozása az ellenőrző két fájlt, egyetlen paranccsal
Bár a fájlok különböznek egymástól csak két karakter, az egyik szerez két markánsan különböző ellenőrző összegeket. 2. lista mutatja az azonos fájlok feldolgozásának MD5.
2. lista fájl feldolgozása MD5
Ezek az ellenőrző összegeket jelentősen eltér egymástól, és nem kétséges, hogy ezek a fájlok valamilyen módon eltér egymástól.
Egy másik módszer, hogy a Perl generálni információt ellenőrző összegeket. Ez a Perl Digest :: MD5 modult. amely képes létrehozni MD5 ellenőrző összegek valamennyi adat vonalak vagy a megadott fájlt.
3. lista egy egyszerű script, amely visszaadja az összeg MD5 checksum a feltöltött fájl a parancssorban, hexadecimális karakterlánc (azonos méret listán látható 2).
3. lista Script, ami visszaadja a MD5 ellenőrző
Akkor ezt a szkriptet, hogy kezelje az előző fájlokat. Ennek eredményeként, akkor kap információt, amely azonos a 4. listában.
4. lista feldolgozása ugyanabban a fájlban a Digest :: MD5
A folyamat egyszerűsítése szükséges rögzíteni az információt a fájlt később összehasonlítani az adatokat. Ezt megelőzően, további adatok összehasonlítása (az idő változik, a fájl méretét, a tulajdonos, a inode, és így tovább).
Hozzáadása jelentés adatai
Perl stat () függvény lehet beszerezni egy adott fájl egy csomó információt, amelyek többsége lehet használni. Az alábbi információkat lehet beszerezni listán látható 5.
5. lista Perl stat () függvény
Felvehet szinte az összes adatot, de része ez haszontalan, mint bármilyen változás túl gyakran, vagy visszaáll, ha újraindítja. Általános szabály, hogy a következő paramétereket kell hagyni:
- rdev csak speciális fájlokhoz (eszközök és szállítószalagok), ezért, mint a szabály, akkor meg kell szüntetni.
- atime-utolsó hozzáférési idő minden alkalommal változik fájl megnyitásakor. Ez azt jelenti, hogy a fájl jelenik meg, mint a változás, akkor is, ha a valóságban nem változik. Monitoring E paraméter vezethet hamis pozitív referencia rendszerrel.
- blksize-fájlban használt input-output rendszer. Nem valószínű, hogy ez a lehetőség meg fog változni, azonban más tényezők nem kapcsolódó változtatások egy fájlba vezethet változások ezen paraméter értéke, ezért nyomkövető fájlok integritásának felügyelet nincs értelme.
- blokkok blokkok száma által elfoglalt fájlt a fájlrendszerben. Ezt az információt a társított fájl, de ha a fájl mérete már szabályozott, ez a paraméter rekord lesz felesleges.
A következő paramétereket használt monitor bizonyos esetekben:
- dev-eszköz számát a fájlrendszerben állandónak kell lennie, függetlenül újraindul, ha nincs állandó csatlakoztatása és leválasztása fájlrendszereket. Ha a fájlrendszer, ugyanabban a sorrendben, minden alkalommal, amikor újraindítja a készülék számát állandónak kell maradnia.
- nHivatkozás-száma rögzítve linkeket a fájl felfedi a teremtés egy fix kapcsolat a fájlt olyan helyre, ahol a fájl felülírható, és megkerülni a felbontás a forrás fájlt. Nem lehet egy fix kapcsolat a fájl tulajdonosa és jogosítványokat, amelyek eltérnek az eredeti fájlt.
- ctime inode változás időben lehet változtatni, ha egy fájl vagy módosíthatja a tulajdonos vagy a zászló. Ha ezt a beállítást megváltoztatja, azt jelezheti, hogy a megfelelő változást fájlbeállításokat, akkor is, ha majd visszatért az eredeti értékére.
6. kódrészlet a kódot a script, amely megjeleníti a fájl elérési útvonalát, és az ellenőrző a standard kimenetre külön oszlopban. Ezen kívül ellenőrző további információkat jelenít meg, így egyszerűen összehasonlítva a problémát, akkor láthatjuk, hogy a fájlok megváltoztak.
Listing 6. A kimeneti fájl elérési útját, ellenőrző és egyéb adatokat a standard kimenetre
A script a Perl fájl :: Keressen modult. amely kezeli könyvtárat és úgy néz ki, az összes fájl és könyvtár a megadott helyen. akart () függvény az egyes fájlokhoz. és ez a funkció az összes nevezett fájlokat genchksuminfo () függvényt. Információkat kap a stat (), és visszaad egy string információt a fájl elérési útját, ellenőrző és további adatokat. Ebben script, az információ egyszerűen jelenik meg a szabványos kimenetre.
Directory leolvasó van megadva parancsparaméter. Ahhoz, hogy az ellenőrző fájl a / etc könyvtárban, használd a listán látható 7.
Listing 7. szkennelés / etc
Az utolsó szakaszban a folyamat, hogy fenntartsák a tájékoztatást, és a módszer összehasonlítása a jelenlegi állapot a referencia.
ellenőrző információ
Összesen script (Listing 8) a kód alapján a 6. ábra Ez a szkript szignifikánsan emelte, mint az eredeti, és számos új szolgáltatást tartalmaz:
- Feldolgozás Command Line Options segítségével Getopt :: Hosszú modult. Ezek segítségével megadhatja a fájl ellenőrző (store ellenőrző és egyéb információk érkezett), vagy nem összehasonlítani az új információkat a korábbi (az olvasó chksumfile tartalom), és a képesség, hogy rendelni egy home könyvtár keresni. az adatok frissítése, és az egyetlen eltérés mutatkozik, ha összehasonlítjuk a fájlokat.
- loadchksumdata () függvényt és feldolgoznia a meglévő adatok fájl lehetővé teszi, hogy hasonlítsa össze a régi és az új információk könnyen.
- Funkció gendiff jelentés (). amely közvetlenül összehasonlítja az egyes területek jelenlegi állapotának megőrzése és jelenteni változásokat. Ez a funkció csak meghívásra, ha tudjuk, hogy volt egy bizonyos fajta változás.
Listing 8. A végleges forgatókönyvet
Ahhoz, hogy használni ezt a szkriptet, először létre kell hozni egy fájlt a referencia ellenőrző és egyéb adatokat, amelyek alapjául szolgálnak az összehasonlításhoz. Például, hogy információt szerezzenek kontrollösszegekre fájlokat az / etc könyvtárba, akkor használja a következő parancsot:
Most, hogy van ez az információ, ha módosítja a fájlt, majd indítsa újra a szkriptet, a változások kimutatásában jön létre. A lista 9. láthatjuk a változás kimutatásában az / etc / hosts.
Listing 9. A jelentés fájl változás / etc / hosts
Felhívjuk figyelmét, hogy a jelentésben információt a fájl változások és törlésével kapcsolatban a fájlt. Amikor létrehoz egy új fájlt a jelentésben is adunk információt.
Használata CRC információ
Segítségével egy script 6. listában, akkor hozzon létre egy fájlt, hogy lehet használni, hogy teszteljék, és ellenőrizze a rendszer integritását. A fájl meglétét jelenti, hogy meg kell tárolni az adatokat biztonságos helyen, egyébként bárki frissítheti az információkat, beleértve azokat, akik rossz szándékkal használják a számítógépet, és változtassa meg a fájl, hogy a védeni kívánt.
Nincsenek egyértelmű és egyszerű szabályokat illetően ezt az információt, de világossá kell tenni, hogy ne tárolja a kapott fájlt ugyanazon a gépen, ahol létrehozták, vagy megtalálható, és megváltozott. Ugyanez vonatkozik a tároló a fájl egy másik gépen ugyanazon a hálózaton. Ha a fájl, akkor lehet módosítani vagy. Talán a legjobb megoldás az lenne, hogy írjon a fájlt egy CD-t vagy DVD-t és tárolja külön a számítógépről.
Bár ez egy kicsit bonyolult folyamat az információ biztonsági ellátások ezeket a fájlokat - felbecsülhetetlen.
következtetés
Ebben a cikkben, megbeszéltük létrehozása egy script, hogy lehet használni, hogy ellenőrizze a integritását a fájlok vagy könyvtár fájlokat. Figyelt információ tartalmazza a fájl elérési útját és az ellenőrző, ezért lehetőség van arra, hogy összehasonlítsa a fájlok tartalmát és az egyedi információs fájlok (inode, engedélyek, a tulajdonos adatait), és hogy azonosítsa a különbségek, ha van ilyen.
Az ezzel a script csak rajtad. Akkor információ tárolására és futtatni a szkriptet időről időre, a megjelenése után a probléma egyszerre, vagy használja ezt a fájlt, amelynek célja a további diagnózist, hogy milyen fájlok változtak, és hozzon létre egy listát a fájlokat lehet beolvasni.