文件实时同步后防篡改的操作记录
需求场景:
部署一套sftp环境,用于客户上传电子文件(合同文件或视频文件等),文件上传到sftp后立即实时同步到业务应用服务器上。为了安全考虑,文件在首次同步后,后续再同步时就不覆盖同名文件,这样做是为了防止文件被篡改!
部署思路:
1)sftp高可用环境部署,参考:http://www.cnblogs.com/kevingrace/p/7868049.html
2)rsync+inotify实时同步环境部署,参考:http://www.cnblogs.com/kevingrace/p/6001252.html
3)防篡改做法:当文件被首次实时同步到应用服务器上后,立马使用chattr命令将其锁定,即禁止写入!可以在应用服务器上写一个锁定文件的脚本,实时执行的!
sftp的上传目录是/data/test,实时同步到应用服务器上的目录也是/data/test,那么应用服务器上的锁定文件的脚本为:
[root@centos6-05 ~]# vim /root/chattr_test.sh #!/bin/bash while [ "1" = "1" ] do for A in `ls -l /data/test/|grep -v total|awk '{print $9}'`;do /usr/bin/chattr +ai /data/test/${A} done done
实时执行改脚本:
[root@app01 ~]# nohup sh -x /root/chattr_test.sh & [root@app01 ~]# ps -ef|grep chattr_test.sh root 5684 9769 0 21:33 pts/0 00:00:00 grep chattr_test.sh root 28227 9769 37 18:36 pts/0 01:05:48 sh -x chattr_test.sh
上面脚本针对的是上传目录/data/test下全是文件,没有子目录。如果/data/test 下面有子目录,那么就在脚本中添加find命令查询对应子目录下的文件进行chattr锁定。
测试效果:
sftp上传一个新文件A,该文件会实时同步到应用服务器/data/test 目录下,接着修改A文件并上传覆盖到sftp目录下,则该文件不会覆盖到应用服务器的同名文件了。
*************** 当你发现自己的才华撑不起野心时,就请安静下来学习吧!***************