为了安全需要,第一次部署完linux之后,生成对应目录文件的md5值,比如/sbin目录下的执行文件,如果部署的是网站程序文件,也可以第一时间生成md5值,以后每次改动都可以记录在案。这样的话,在怀疑被入侵的时候可以批量对比文件md5值,看是否被恶意修改过。

1、生成某个目录文件的md5值,以/sbin为例

1find /sbin -type f | xargs  md5sum > sbin.md5

2、对比时候再次用这条命令生成md5值,然后用diff命令进行对比

1[root@test ~]# find /sbin -type f | xargs  md5sum > sbin2.md5
2[root@test ~]# diff sbin.md5 sbin2.md5
3206c206
4< d4d94e25f3f600d17aab0ce82505209d  /sbin/dmeventd
56> a4d94e25f3f600d17aab0ce82505xmnd  /sbin/dmeventd

可以看到,/sbin/dmeventd的md5不一样,表明这个文件是被入侵者修改过的。

这里只是以/sbin目录为例,实际应用中,我们可以将安装好后的可执行目录,lib库文件,站点程序文件都建立起一个md5库,一旦对比发现值不对,就可以发现哪些文件被更改过。