我聘請了一位顧問來將一些客製化軟體安裝到 CentOS 5 伺服器上。在她完成後,我想審查她的更改,以便可能實現自動化或優化它們。
我在想:
- 在將系統交給她之前,以某種方式對系統進行快照。
- 完成後,比較快照以查看檔案變更、權限變更等。
我已經讓她的 shell 自動運行script來保存她的控制台日誌。但是,這不會捕獲所有文件更改(例如,如果她使用編輯命令來vim修改文件)。
答案1
如果您只想回答「此系統上的哪些檔案已變更」此問題,請使用為所有檔案產生校驗和的工具。在顧問進行任何更改之前運行它,之後運行它,並尋找已更改的文件。將結果儲存在系統以外的其他人上。當然,請注意,作為正常運作的一部分,某些檔案會定期變更。
執行此任務的工具通常稱為「檔案完整性檢查器」。解決方案包括絆線, 阿菲克,助理, 和別的。 本文Samhain 作者對各種文件完整性檢查器進行了相當好的概述。我最近沒有使用過這些。
如果您確實想查看之前和之後的內容,一種選擇是先備份所有內容,然後將系統狀態與備份進行比較。您可以使用像
tar或 這樣簡單的東西rsync來進行備份,然後您可以將備份與系統的當前狀態進行比較。您可以使用為 (1) 選擇的任何工具來識別已變更的文件,然後比較備份和目前文件。如果您不擔心惡意變更並且擁有基於 LVM 的配置,則可以透過建立檔案系統快照來跳過 (2) 中的備份步驟。當然,這不能防止惡意更改的原因是快照與原始文件共享相同的存儲,並且有惡意的人可以簡單地更新快照,但它確實提供了一種資源需求相對較少的解決方案。