Cron
cron 上的 chkrootkit,但僅在檢測到陽性時才報告(無論是否為假)
我想創建一個執行 chkrootkit 的 cron 作業,但只有在有正面、錯誤與否的情況下才會將結果日誌通過電子郵件發送給我。chkrootkit faq 給出了這個建議:
0 3 * * * (cd /path/to/chkrootkit; ./chkrootkit 2>&1 | mail -s "chkrootkit output" root)
…但我執行一個具有 100 多個節點的 HPC 集群。如果它檢測到我應該注意的事情,我只希望它郵寄日誌。
我該怎麼做呢?
從自述文件:
- 輸出消息
chkrootkit 在其測試期間會列印以下消息(使用
-x
and-q
命令選項除外):"
INFECTED
":測試辨識出一個可能被已知 rootkit 修改過的命令;…
因此,編寫執行
chkrootkit
並將輸出重定向到臨時文件的小腳本,解析臨時文件中的字元串“INFECTED
”,如果找到;發送包含相關資訊的電子郵件以辨識主機並將該臨時文件添加為附件,刪除臨時文件。