afick-3.4 安装与使用

Afick是一款与著名文件完整性验证工具 tripwire非常相似的安全工具，它可以监控你的文件系统的变化，因此可以检测出***行为。（以上是网上的介绍，关于它的原理和这次暂不介绍下面简单说一下安装和使用）。

环境Centeros 6.3 64位

以下下是软件 上次传资料没注意下载豆的问题 以后开源的东西我都不要豆

http://down.51cto.com/data/1099898 源码包

http://down.51cto.com/data/1099899 rpm包

首先安装不要的软件包

[root@localhost ~]# yum -y install perl

[root@localhost ~]# tar xf afick-3.4.tgz

[root@localhost ~]# cd afick-3.4

[root@localhost afick-3.4]# perl Makefile.pl

[root@localhost afick-3.4]# make install

[root@localhost ~]# vi /etc/afick.conf 编辑配置文件添加需要检测的目录

一下是配置文件的一些内容以及我对它的理解

这是监控的行动

# action : a list of item to check :

# md5 : md5 checksum

# sha1 : sha-1 checksum

# sha256 : sha-256 checksum

# sha512 : sha-512 checksum

# d : device

# i : inode

# p : permissions

# n : number of links

# u : user

# g : group

# s : size

# b : number of blocks

# m : mtime

# c : ctime

# a : atime

这是设置的一些"监控的动作"的别名组合

#all: p+d+i+n+u+g+s+b+m+c+md5

#R: p+d+i+n+u+g+s+m+c+md5

#L: p+d+i+n+u+g

#P: p+n+u+g+s+md5

#E: ''

DIR=p+i+n+u+g

ETC = p+d+i+u+g+s+md5

Logs = p+n+u+g

MyRule = p+d+i+n+u+g+s+b+md5+m

一下是监控的目录和该目录被监控的动作

=/ DIR

/etc ETC

/usr/bin MyRule

/usr/sbin MyRule

/usr/lib MyRule

一下是一些简单的操作使用命令

[root@localhost ~]#afick -c /etc/afick.conf -i 创建原始数据库

# Hash database created successfully. 13326 files entered.

# #################################################################

# MD5 hash of /var/lib/afick/afick => y1GbVg0B+pVBaUp9l8sizQ

# user time : 4.63; system time : 1.11; real time : 6

[root@localhost ~]# touch jdm.test 制造个变动

[root@localhost ~]# chmod 644 /etc/profile制造个变动

[root@localhost ~]# chmod 777 aaaaa 制造个变动

[root@localhost ~]# useradd -g root zhangxi制造个变动

[root@localhost ~]#afick -c /etc/afick.conf -k 检查变更情况

# detailed changes

new file : /root/jdm.test

inode_date : Wed Mar 12 14:00:29 2014

changed file : /etc/passwd

md5 : 8b047ab7fa8e663c0a4601731ec27137 22c53b608c0f8da5cb5b0a341c75b761

inode : 188601 188609

filesize : 1211 1252

changed file : /etc/passwd-

md5 : 95f354f48ca9a62372727d5cf220ab13 8b047ab7fa8e663c0a4601731ec27137

filesize : 1178 1211

changed file : /etc/profile

filemode : 100644 100777

changed file : /etc/shadow

md5 : 90b5aba8688fa713ab3787a598569187 da4e3c7b3ac80f52bf8a545902d2cbdc

inode : 188602 188601

filesize : 810 840

changed file : /etc/shadow-

md5 : 297162f0cee8ba0fb70e4b8b17256946 90b5aba8688fa713ab3787a598569187

filesize : 781 810

changed directory : /root

mtime : Wed Mar 12 13:13:05 2014 Wed Mar 12 14:00:29 2014

changed file : /root/aaaaa

filemode : 100644 100777

# Hash database : 13327 files scanned, 8 changed (new : 1; delete : 0; changed : 7; dangling : 5; exclude_suffix : 161; exclude_prefix : 0; exclude_re : 0; degraded : 1)

# #################################################################

# MD5 hash of /var/lib/afick/afick => y1GbVg0B+pVBaUp9l8sizQ

# user time : 5.4; system time : 0.79; real time : 6

[root@localhost ~]# afick -c /etc/afick.conf -u 更新数据库