目录监控

    目录监控启用lfd来检查/tmp 和/dev/shm，以及其他相关目录的可疑文件，即脚本攻击者。
    一旦发现可疑文件，系统就会用filealert.txt.模板发送一封提醒邮件。
    注意：每份可疑文件只发送一封提醒邮件，除非重新启动lfd。所以，如果您删除一份可疑文件，记得要重新启动lfd。
    在监控目录时发现任何可疑文件，启用相应的设置，这些可疑文件将被加入/etc/csf/suspicious.tar 压缩包，然后从它们的原始位置删除。符号链接也被删除。
    如果您要在当前位置解压压缩包，可以用：
    tar -xpf /etc/csf/suspicious.tar
    它可以保存原文件的路径和权限。
    可以添加任何漏报至/etc/csf/csf.fignore，lfd将忽略所列文件和目录。
    csf.fignore里列出了lfd目录监控将忽略的文件。您需要制定该文件的完整路径。
    您还可以使用perl正则表达模式匹配，例如：
    /tmp/clamav.*
    /tmp/.*.wrk
    记住您将需要转义特殊字符（在它们前面加上反斜线）比如. ?
    模式匹配只在字符串包含一个星号(*)时使用，其他情况都使用完整的文件路径匹配。
    您也可以通过在其前面加上user:来添加用户名至特定用户的忽略文件所有者，例如：user:bob
    注意：root用户所有的文件会被忽略
    perl正规表达式信息：
    http://www.perl.com/doc/manual/html/pod/perlre.html
    目录监控的第二个方面是用LF_DIRWATCH_FILE启用。该选项可以让lfd监控某个特定的文件或目录，一旦该文件或目录有变动，就会发送watchalert.txt提醒邮件。它是通过与该条目输出的”ls -laAR” md5sum匹配来完成的，因此如果指定的话，它会覆盖目录

(本文由美国主机侦探原创，转载请注明出处“美国主机侦探”和原文地址！)

微信扫码加好友进群

主机优惠码及时掌握

QQ群号：938255063

主机优惠发布与交流