我需要一个脚本来检查/etc/passwd
文件中的任何修改,如果有修改,我会立即通过电子邮件通知我已经添加或删除passwd
文件的用户
不使用inotifywait命令
答案 0 :(得分:3)
您可以使用inotifywait
实用程序,如下所示:
inotifywait -e modify /etc/passwd
写入所选文件时 inotifywait
将退出,因此您可以采取您需要的任何操作。
答案 1 :(得分:0)
您可以使用md5sum或sha256检查修改... 制作基本校验和,用硬盘编码
if [[ "$(sha256 /etc/passwd)" != "the hash of ori file" ]]; then
mail yourself
fi
你也可以在某处获得/ etc / passwd的副本并运行你通过邮件发送的差异,以获得更改的内容
if [[ "$(diff /etc/passwd /root/passwdbackup)" != "" ]]; then
mail yourself
fi