我需要一个脚本,将在/etc/passwd
文件检查任何修改,如果有我通过电子邮件收到立即发出警报,告诉我一个修饰,其已被添加或从passwd
文件中删除用户监视/ etc/passwd文件
不使用inotifywait命令
我需要一个脚本,将在/etc/passwd
文件检查任何修改,如果有我通过电子邮件收到立即发出警报,告诉我一个修饰,其已被添加或从passwd
文件中删除用户监视/ etc/passwd文件
不使用inotifywait命令
,你可以检查与的md5sum或SHA256 ... 修改使你的基础校验,以股代息硬编码
if [[ "$(sha256 /etc/passwd)" != "the hash of ori file" ]]; then mail yourself fi
你也可以有一个复制/ etc/passwd文件的地方,并运行您通过发送邮件的DIFF有变化的内容
if [[ "$(diff /etc/passwd /root/passwdbackup)" != "" ]]; then mail yourself fi
非常感谢,它的工作 – DKAKAI
检查'inotify'使用 –
使passwd文件的副本中的位置,并使用cron来对当前和您制作的副本进行差异化,如果有差异,它可以发送邮件。您可以将cron设置为大约15分钟或根据您的要求。这是必需的吗? –
或者可能使用auditd软件包。 https://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html可能是有用的 –