文件防篡改使用说明

1、文件防篡改通过文件的MD5字符串(大小写均可)来监测文件是否被篡改过,并进行告警,默认每15分钟扫描一次文件,linux查看文件md5字符串如下
[root@VM-0-14-centos server]# md5sum wgcloud-server-release.jar
9991a48745dccabd6b922390b3286700  wgcloud-server-release.jar
2、文件类型(文件或文件夹),可以监控文件,也可以监控文件夹。(监控文件夹需要升级到专业版)
3、文件名称,就是我们自定义文件的别名
4、默认15分钟扫描,暂时不支持自定义时间
5、文件绝对路径,就是文件在监控主机的完整路径,如:/home/wgcloud/server/wgcloud-server-release.jar或者/home/wgcloud/server/config
6、文件的MD5字符串。大小写均可,Linux可以用命令[md5sum 文件名称]获取。如果是监控文件夹,则不用填写此处
7、监控文件夹(需要升级到v3.4.8或以上版本),会监控文件夹下的每个文件是否被篡改,如果文件夹或文件被删除,或新加了文件,也都会被认定为篡改过
如果监控文件夹下的子文件夹被删除,被篡改,也会发送告警通知,但是不会监控该子文件夹下的文件是否被篡改
如果我们自己修改了该文件夹,只需要在列表点击【重新监控】,就会重新开始监控该文件夹,或者重启agent效果也一样,重启agent也会重新开始监控该文件夹
8、文件防篡改保护机制视频讲解
9、如何实现发现文件被篡改后,agent自动将被篡改的文件还原回到原始文件,如下例子
如下shell脚本oaFileSafe.sh,它主要用于保护OA业务系统的/oaWorkspace/config/application.yml文件,若发现文件的md5字符串不一致,说已经文件已被篡改,然后进行恢复处理
先进入到目录/oaWorkspace/config,删除被篡改的文件application.yml,然后下载原始文件application.yml到/oaWorkspace/config下
这里例子,使用的是server自带的下载能力,当然我们也可以使用自己的下载途径
然后,将这个serverFileSafe.sh放到自己的被监控主机(即agent主机)上
最后一步,需要借助我们的自定义监控项功能,添加一条执行指令,定期执行达到扫描监控目的