需用 inotifywait 监控 /etc、/root/、/home/*/.ssh/、/var/log/、/usr/bin/、/usr/sbin/ 等关键目录,过滤高危事件并邮件或 Webhook 告警。
要实现对系统关键目录的实时监控并触发报警,核心是利用 Linux 的 inotify 机制捕获文件系统事件,并通过轻量脚本完成日志记录、条件过滤与告警通知。不依赖复杂服务,单脚本即可落地。
关键目录选择需聚焦高风险路径
并非所有目录都需要实时监控,优先覆盖以下类型:
- /etc/:配置文件集中地,非法修改可能影响服务安全与稳定性
- /root/ 和 /home/*/.ssh/:敏感凭证存储区域,新增或替换 authorized_keys 需立即感知
- /var/log/:日志被清空、覆盖或重定向往往是入侵痕迹
- /usr/bin/、/usr/sbin/:关键二进制文件被替换(如 ls、ps、netstat)属典型后门行为
用 inotifywait 实现低开销持续监听
inotifywait(来自 inotify-tools 包)比 inotifywatch 更适合脚本集成,支持阻塞式监听与事件过滤。示例命令逻辑:
- -m 表示持续监听,不退出
- -e 指定关注的事件类型,避免过度触发(如 access、open 不建议启用)
- --format 定制输出,便于后续解析;%w%f 是完整路径,%e 是事件名
- -r 递归监控子目录,但需注意深度过大可能触发 inotify 资源限制(可调 /proc/sys/fs/inotify/max_user_watches)
事件过滤与告警触发要精准有效
原始事件噪音大,需在脚本中做二次判断:
- 排除临时文件:跳过以 .swp、~、.tmp 结尾或包含 /tmp/、/run/ 的路径
- 聚焦高危动作:如 /etc/shadow 被修改、/root/.ssh/authorized_keys 被写入、/usr/bin/sudo 权限被篡改(attrib 事件中检查 chmod/chown)
- 告警方式轻量实用:写入本地告警日志 + 发送邮件(mail 命令)或调用企业微信/钉钉 Webhook(curl 即可)
- 避免重复告警:对同一文件在 60 秒内多次事件做合并或限频(可用文件锁或时间戳缓存)
脚本需具备基础健壮性与可维护性
生产环境运行不能“一跑就忘”,应包含:
- 启动时检查 inotifywait 是否存在、目标目录是否可读、邮件发送通道是否通(如 echo test | mail -s "test" admin@x)
- 使用 trap 捕获 SIGINT/SIGTERM,退出前清理 inotify 句柄(非必须但推荐)
- 日志带时间戳和事件级别(WARN/ALERT),方便审计追踪
- 配置分离:将监控路径、忽略规则、收件人、Webhook 地址等提取为变量或外部配置文件
