目录监控

手册/FAQ (529) 2011-08-09 15:41:49

    目录监控启用lfd来检查/tmp 和/dev/shm,以及其他相关目录的可疑文件,即脚本攻击者。
    一旦发现可疑文件,系统就会用filealert.txt.模板发送一封提醒邮件。
    注意:每份可疑文件只发送一封提醒邮件,除非重新启动lfd。所以,如果您删除一份可疑文件,记得要重新启动lfd。
    在监控目录时发现任何可疑文件,启用相应的设置,这些可疑文件将被加入/etc/csf/suspicious.tar 压缩包,然后从它们的原始位置删除。符号链接也被删除。
    如果您要在当前位置解压压缩包,可以用:
    tar -xpf /etc/csf/suspicious.tar
    它可以保存原文件的路径和权限。
    可以添加任何漏报至/etc/csf/csf.fignore,lfd将忽略所列文件和目录。
    csf.fignore里列出了lfd目录监控将忽略的文件。您需要制定该文件的完整路径。
    您还可以使用perl正则表达模式匹配,例如:
    /tmp/clamav.*
    /tmp/.*\.wrk
    记住您将需要转义特殊字符(在它们前面加上反斜线)比如\. \?
    模式匹配只在字符串包含一个星号(*)时使用,其他情况都使用完整的文件路径匹配。
    您也可以通过在其前面加上user:来添加用户名至特定用户的忽略文件所有者,例如:user:bob
    注意:root用户所有的文件会被忽略
    perl正规表达式信息:
    http://www.perl.com/doc/manual/html/pod/perlre.html
    目录监控的第二个方面是用LF_DIRWATCH_FILE启用。该选项可以让lfd监控某个特定的文件或目录,一旦该文件或目录有变动,就会发送watchalert.txt提醒邮件。它是通过与该条目输出的"ls -laAR" md5sum匹配来完成的,因此如果指定的话,它会覆盖目录

THE END