findコマンドを使用したファイル改変検知

ファイル改変を含む侵入検知を行う場合は、通常IDS(Intrusion Detection System:侵入検知システム)を使いますが、結構これがファイヤーウォール以上に負荷が高く導入するとパフォーマンスを維持するコストが跳ね上がります。

例えば/home/user/ 直下で24時間以内に変更されたファイルを検出するには

# find /home/user/ -maxdepth 1 -mtime -1

と打ちます。maxdepthで検索ディレクトリからfindで検索する階層を指定(1なら直下、2なら直下のサブディレクトリの下まで)、mtimeで-1は1日以内、+nにするとn日以上になります。

また、mtimeの代わりにmminを使用した場合は単位は分になります。

# find /home/user/ -maxdepth 1 -mtime -1440

これをcron等に登録して定期実行しメールで渡してあげればファイル変更を検出できます。
これは外部からの侵入よりもソーシャルハッキングの検知やオペレーションミスの早期発見によいかもしれません。

巨大なログはsplitコマンドで分割

1GB弱のsqlダンプを編集する必要があってterapadで開こうとしたのですが、デスクトップでもダメでした。一度どこかにダミーサーバーを立てて必要な部分だけ抽出という作戦もありましたがバージョン互換性のあるDBが無くて困っていたところUNIX上でsplitコマンドを使いテキスト分割できることを発見。

行を一区切りとする場合
# split -1000 filename SPLIT

こうするとfilenameを1000行ずつSPLITを先頭文字とした分割ファイルが生成されます。
これを行数ではなくバイト数で分割する場合は

# split -b 1048576 filename SPLIT
# split -b 1024k filename SPLIT
# split -b 1m filename SPLIT

のようにします。上記3つのコマンドは単位を替えて表記したもので全て同じ意味になります。
1m=1024k
1k=1024bytes
1m=1048576bytes

シェルスクリプトで関数

今までは単純にコマンド入れるだけとか単純な振り分け程度でしたが、一まとめの処理を変数の内容を変えながら実行するものを作ったのでシェルスクリプトでも関数みたいのが作りたいなぁ。

#!/bin/sh
var1=ON
var2=OFF
myfunc () {
echo ARG1=$1, ARG2=$2
}
myfunc $var1 $var2

上記のように書けばよいみたい、さすがにプロトタイプ宣言みたいのはないかなー?関数の定義は実際に使用する前に書かかないと見つからないようです。