inotify: observando seus arquivos e tomando decisões de segurança em tempo real
-
João Eriberto Mota Filho
Oficial de Cavalaria do Exército Brasileiro. Gerente de Rede e Segurança do Gabinete do Comandante do Exército. Professor da Pós-graduação em Perícia Digital na Universidade Católica de Brasília. Autor dos livros Linux & Seus Servidores (2000), Pequenas Redes com Microsoft Windows (2001), Descobrindo o Linux (3ª edição em 2012) e Análise de tráfego em redes TCP/IP (2013). Desenvolvedor Debian.
IMPORTANTE: esta palestra também abordará aspectos fundamentais de administração de redes de computadores e de sistemas, além da sua segurança.
O inotify (inode notify) faz parte do Linux e é responsável por fazer o kernel observar os filesystems em operação, avisando aos programas sobre alterações ocorridas. Um exemplo disso é quando copiamos um arquivo via shell e o mesmo é mostrado, imediatamente, em um programa gráfico de gerenciamento de arquivos, como o Dolphin (KDE) ou o Nautilus (Gnome). Esse programa gráfico sempre será avisado sobre essas alterações, em tempo real, pelo Kernel Linux (ação do inotify). Assim como os arquivos, diretórios também poderão ser monitorados.
O iWatch é um programa que utiliza o inotify para observar ocorrências com arquivos e diretórios no disco, podendo disparar gatilhos para executar ações em situações específicas.
Algumas operações de administração de sistemas e de segurança de rede que poderão ser realizadas com o iWatch e similares:
- Observação de invasões em redes de computadores, obtendo alertas em tempo real, criando-se algo em torno de um elemento verificador de integridade.
- Backup instantâneo de arquivos, sempre que os mesmos forem alterados.
- Remoção de dumps de bancos de dados, imediatamente após o backup para um servidor específico.
- A criação de um sistema de DHCP primário e secundário, similar ao que ocorre com o DNS.
- Criação de um sistema inteligente de repositório local Debian, para pacotes personalizados, também servindo para outras dostribuições.
As ações poderão ser desencadeadas após observações de operações triviais de disco, como a criação de um arquivo ou diretório, ou a sua alteração, ou apenas a sua leitura, ou a sua deleção. Há diversas possibilidades, culminando com o monitoramento dos metadados do arquivo.
Outros programas que utilizam o inotify, como clsync, entr, incron, inosync, inotail e inoticoming também serão abordados.
O inotify (inode notify) faz parte do Linux e é responsável por fazer o kernel observar os filesystems em operação, avisando aos programas sobre alterações ocorridas. Um exemplo disso é quando copiamos um arquivo via shell e o mesmo é mostrado, imediatamente, em um programa gráfico de gerenciamento de arquivos, como o Dolphin (KDE) ou o Nautilus (Gnome). Esse programa gráfico sempre será avisado sobre essas alterações, em tempo real, pelo Kernel Linux (ação do inotify). Assim como os arquivos, diretórios também poderão ser monitorados.
O iWatch é um programa que utiliza o inotify para observar ocorrências com arquivos e diretórios no disco, podendo disparar gatilhos para executar ações em situações específicas.
Algumas operações de administração de sistemas e de segurança de rede que poderão ser realizadas com o iWatch e similares:
- Observação de invasões em redes de computadores, obtendo alertas em tempo real, criando-se algo em torno de um elemento verificador de integridade.
- Backup instantâneo de arquivos, sempre que os mesmos forem alterados.
- Remoção de dumps de bancos de dados, imediatamente após o backup para um servidor específico.
- A criação de um sistema de DHCP primário e secundário, similar ao que ocorre com o DNS.
- Criação de um sistema inteligente de repositório local Debian, para pacotes personalizados, também servindo para outras dostribuições.
As ações poderão ser desencadeadas após observações de operações triviais de disco, como a criação de um arquivo ou diretório, ou a sua alteração, ou apenas a sua leitura, ou a sua deleção. Há diversas possibilidades, culminando com o monitoramento dos metadados do arquivo.
Outros programas que utilizam o inotify, como clsync, entr, incron, inosync, inotail e inoticoming também serão abordados.