inotify

inotify+rsync实时备份 环境准备 简介 原理 A上操作 1、安装EPEL 2、安装inotify和rsync服务 3、修改rsync的配置文件 4、创建目录 5、建立rsync用户名和密码文件，加权限 6、启动服务，验证端口 B上操作 7、安装EPEL 8、安装inotify和rsync服务 9、设置客户端密码文件，修改权限 10、编写脚本 11、创建目录 12、执行脚本 13、进入相应的目录，创建文件 14、切回到A上查验 环境准备 centos7两台，关闭防火墙和selinux A 备份端——192.168.112.153 【服务端】 B 备份源——192.168.112.172【客户端】 简介 Inotify 是一种强大的、细粒度的、异步的文件系统事件监控机制，linux内核从2.6.13起，加入了Inotify支持，通过Inotify可以监控文件系统中添加、删除，修改、移动等各种细微事件，利用这个内核接口，第三方软件就可以监控文件系统下文件的各种变化情况，而inotify-tools就是这样的一个第三方软件 rsync具有安全性高、备份迅速、支持增量备份等优点，通过rsync可以解决对实时性要求不高的数据备份需求,但是rsync不能实时的去监测、同步数据 原理 Inotify只需要要按照部署在同步的客户端，当监控的文件有变化触动 rsync脚本来同步 A上操作

什么是Inotify？ Inotify一种强大的、细粒度的、异步文件系统监控机制，它满足各种各样的文件监控需要，可以监控文件系统的访问属性、读写属性、权限属性、删除创建、移动等操作，也就是可以监控文件发生的一切变化。。 inotify-tools是一个C库和一组命令行的工作提供Linux下inotify的简单接口。inotify-tools安装后会得到inotifywait和inotifywatch这两条命令： 一、安装 1.从内核和目录里面查看是否支持inotify [root@yaoji-dev-test ~]# uname -r 3.10.0-693.2.2.el7.x86_64 2.6.13以上版本内核都会支持 ls -l /proc/sys/fs/inotify/ -→主要查看下面有没有三个文件 2.检查是否有安装inotify 如果没有就安装 rpm -qa inotify-tools 安装命令为： yum install inotify-tools -y 二、 参数详解 安装完成后会生成两个命令 /usr/bin/inotifywait /usr/bin/inotifywatch inotifywait命令可以用来收集有关文件访问信息，Linux发行版一般没有包括这个命令，需要安装inotify-tools，这个命令还需要将inotify支持编译入Linux内核

学习Linux必须经历的三个阶段 1.ADMIN（云计算系统管理） 2.ENGINEER（云计算应用管理 ） 3.SERVICES（系统，服务管理进阶） 如果你爱的人突然有一天和你说分手，那么有几种可能？–Tuge 目录总结 学习Linux必须经历的三个阶段 One.ADMIN（云计算系统管理） Two.ENAINEER（云计算应用管理） Three.SERVICES（系统服务管理进阶） 五、RPM软件包管理，yum软件包仓库，命令补充 RPM软件包管理 RPM包管理机制 常见的安装位置 查询软件信息 查询已安装的软件 查询待安装的软件包 安装卸载软件包 软件依赖关系 yum软件包管理 准备yum软件仓库 yum机制概述 准备yum本地仓库 配置yum客户端 yum配置解析 .repo配置文件示例 yum命令工具 查询软件信息 安装卸载软件包 清空本地yum缓存 命令补充 查看命令的简要要说明 使用man手册 使用技巧 历史命令 统计文件占用空间 系统时间 制作连接文件 六.用户管理，组账号管理，计划任务 重要的事情说三遍 One.ADMIN（云计算系统管理） 1.云计算网络之基础 2.linux简介安装，基本操作 3.命令行基础，目录及文件管理，文本内容操作 4.归档压缩，重定向，管道，find精确查找，vim高级应用 5.RPM软件包管理，yum软件包仓库，命令补充 6

在对一个大磁盘进行inotify监听时，爆出如下错误： Failed to watch /mnt/; upper limit on inotify watches reached! Please increase the amount of inotify watches allowed per user via `/proc/sys/fs/inotify/max_user_watches’. cat一下这个文件，默认值是8192，echo 8192000 > /proc/sys/fs/inotify/max_user_watches即可~ 来源： oschina 链接： https://my.oschina.net/u/4397965/blog/4302246

反调试 1.自己ptrace自己 代码非常简单，在so中加上这行代码即可： 1 ptrace(PTRACE_TRACEME, 0, 0, 0); 其中PTRACE_TRACEME代表：本进程被其父进程所跟踪。 一个进程只能被ptrace一次，通常在调试的时候都会attach被调试应用的进程，如果我们先占坑，父进程attach自己，那么其他的附加调试就会失败。 2.检测Tracerpid的值 在自己的应用中的native层加上一个循环检查自己status中的TracerPid字段值，如果非0或者是非自己进程pid(如果采用了第一种方案的话，这里也是需要做一次过滤的)；那么就认为被附加调试了。 3.调试器端口检测 以IDA为例，读取/proc/net/tcp，查找IDA远程调试的默认23946端口（或者执行命令netstat -apn），如果处于监听状态说明被存在调试可能。 4.调试器名称检测 遍历进程，查找类似android_server，gdbserver，gdb等调试器进程 5.多进程反调试 目标程序创建了多个进程，互相ptrace，不同进程分工明确，守护或者反调试。只要有一个进程出现异常，集体挂掉以对抗。 对抗 多进程都是通过fork出来的，因此我们修改/bionic/libc/bionic/fork.c里面的fork函数来使得目标进程fork失败 6.检测系统关键文件

1. rsync 1.1 什么是rsync rsync是一个远程数据同步工具，可通过LAN/WAN快速同步多台主机间的文件。它使用所谓的“Rsync演算法”来使本地和远程两个主机之间的文件达到同步，这个算法只传送两个文件的不同部分，而不是每次都整份传送，因此速度相当快。所以通常可以作为备份工具来使用。 运行Rsync server的机器也叫backup server，一个Rsync server可同时备份多个client的数据；也可以多个Rsync server备份一个client的数据。Rsync可以搭配ssh甚至使用daemon模式。Rsync server会打开一个873的服务通道(port)，等待对方rsync连接。连接时，Rsync server会检查口令是否相符，若通过口令查核，则可以开始进行文件传输。第一次连通完成时，会把整份文件传输一次，下一次就只传送二个文件之间不同的部份。 基本特点： 可以镜像保存整个目录树和文件系统； 可以很容易做到保持原来文件的权限、时间、软硬链接等； 无须特殊权限即可安装； 优化的流程，文件传输效率高； 可以使用rcp、ssh等方式来传输文件，当然也可以通过直接的socket连接； 支持匿名传输。 命令语法： rsync的命令格式可以为以下六种： 　rsync [OPTION]… SRC DEST 　rsync [OPTION]… SRC

问题： I want to detect whether module has changed. 我想检测模块是否已更改。 Now, using inotify is simple, you just need to know the directory you want to get notifications from. 现在，使用inotify很简单，您只需要知道要从中获取通知的目录。 How do I retrieve a module's path in python? 如何在python中检索模块的路径？ 解决方案： 参考一： https://stackoom.com/question/12SI/如何检索模块的路径 参考二： https://oldbug.net/q/12SI/How-to-retrieve-a-module-s-path 来源： oschina 链接： https://my.oschina.net/u/4428122/blog/4341429

起步 在python中文件监控主要有两个库，一个是 pyinotify ，一个是 watchdog 。pyinotify依赖于Linux平台的inotify，后者则对不同平台的的事件都进行了封装。因为我主要用于Windows平台，所以下面着重介绍watchdog（推荐大家阅读一下watchdog实现源码，有利于深刻的理解其中的原理）。 watchdog在不同的平台使用不同的方法进行文件检测。在init.py中发现了如下注释： |Inotify| Linux 2.6.13+ ``inotify(7)`` based observer |FSEvents| Mac OS X FSEvents based observer |Kqueue| Mac OS X and BSD with kqueue(2) ``kqueue(2)`` based observer |WinApi|(ReadDirectoryChangesW) MS Windows Windows API-based observer |Polling| Any fallback implementation 给出示例代码如下： #!/usr/bin/env python # -*- coding:utf-8 -*- # Created by victor # 本模块的功能:<检测文件夹变化> #

解决方法: $ echo fs.inotify.max_user_watches=524288 | sudo tee -a /etc/sysctl.conf $ sudo sysctl -p 来源： oschina 链接： https://my.oschina.net/coolsblog/blog/4308982

文章目录 7.8. 入侵检测 7.8.1. IDS与IPS 7.8.2. 常见入侵点 7.8.3. 监控实现 7.8.3.1. 客户端监控 7.8.3.2. 网络检测 7.8.3.3. 日志分析 7.8.4. 参考链接 7.8. 入侵检测 7.8.1. IDS与IPS IDS与IPS是常见的防护设备，IPS相对IDS的不同点在于，IPS通常具有阻断能力。 7.8.2. 常见入侵点 Web入侵 高危服务入侵 7.8.3. 监控实现 7.8.3.1. 客户端监控 监控敏感配置文件 常用命令ELF文件完整性监控 ps lsof … rootkit监控 资源使用报警 内存使用率 CPU使用率 IO使用率 网络使用率 新出现进程监控 基于inotify的文件监控 7.8.3.2. 网络检测 基于网络层面的攻击向量做检测，如Snort等。 7.8.3.3. 日志分析 将主机系统安全日志/操作日志、网络设备流量日志、Web应用访问日志、SQL应用访问日志等日志集中到一个统一的后台，在后台中对各类日志进行综合的分析。 7.8.4. 参考链接 企业安全建设之HIDS 大型互联网企业入侵检测实战总结 同程入侵检测系统 Web日志安全分析系统实践 Web日志安全分析浅谈 网络层绕过IDS/IPS的一些探索 上一篇： 下一篇： 来源： oschina 链接： https://my.oschina.net