文件实时同步后防篡改的操作记录

 

需求场景：
部署一套sftp环境，用于客户上传电子文件（合同文件或视频文件等），文件上传到sftp后立即实时同步到业务应用服务器上。为了安全考虑，文件在首次同步后，后续再同步时就不覆盖同名文件，这样做是为了防止文件被篡改！

部署思路：
1）sftp高可用环境部署，参考：http://www.cnblogs.com/kevingrace/p/7868049.html
2）rsync+inotify实时同步环境部署，参考：http://www.cnblogs.com/kevingrace/p/6001252.html
3）防篡改做法：当文件被首次实时同步到应用服务器上后，立马使用chattr命令将其锁定，即禁止写入！可以在应用服务器上写一个锁定文件的脚本，实时执行的！

sftp的上传目录是/data/test，实时同步到应用服务器上的目录也是/data/test，那么应用服务器上的锁定文件的脚本为：

?

1 2 3 4 5 6 7 8

[root@centos6-05 ~]# vim /root/chattr_test.sh #!/bin/bash while [ "1" = "1" ] do for A in `ls -l /data/test/|grep -v total|awk '{print $9}'`;do      /usr/bin/chattr +ai /data/test/${A} done done

实时执行改脚本：

?

1 2 3 4 5

[root@app01 ~]# nohup sh -x /root/chattr_test.sh &   [root@app01 ~]# ps -ef|grep chattr_test.sh root      5684  9769  0 21:33 pts/0    00:00:00 grep chattr_test.sh root     28227  9769 37 18:36 pts/0    01:05:48 sh -x chattr_test.sh

上面脚本针对的是上传目录/data/test下全是文件,没有子目录。如果/data/test 下面有子目录，那么就在脚本中添加find命令查询对应子目录下的文件进行chattr锁定。

测试效果：
sftp上传一个新文件A，该文件会实时同步到应用服务器/data/test 目录下，接着修改A文件并上传覆盖到sftp目录下，则该文件不会覆盖到应用服务器的同名文件了。