文件實時同步後防篡改的操做記錄

 

需求場景：
部署一套sftp環境，用於客戶上傳電子文件（合同文件或視頻文件等），文件上傳到sftp後當即實時同步到業務應用服務器上。爲了安全考慮，文件在首次同步後，後續再同步時就不覆蓋同名文件，這樣作是爲了防止文件被篡改！

部署思路：
1）sftp高可用環境部署，參考：http://www.cnblogs.com/kevingrace/p/7868049.html
2）rsync+inotify實時同步環境部署，參考：http://www.cnblogs.com/kevingrace/p/6001252.html
3）防篡改作法：當文件被首次實時同步到應用服務器上後，立馬使用chattr命令將其鎖定，即禁止寫入！能夠在應用服務器上寫一個鎖定文件的腳本，實時執行的！

sftp的上傳目錄是/data/test，實時同步到應用服務器上的目錄也是/data/test，那麼應用服務器上的鎖定文件的腳本爲：

[root@centos6-05 ~]# vim /root/chattr_test.sh 
#!/bin/bash
while [ "1" = "1" ]
do
for A in `ls -l /data/test/|grep -v total|awk '{print $9}'`;do
     /usr/bin/chattr +ai /data/test/${A}
done
done

實時執行改腳本：

[root@app01 ~]# nohup sh -x /root/chattr_test.sh &

[root@app01 ~]# ps -ef|grep chattr_test.sh
root      5684  9769  0 21:33 pts/0    00:00:00 grep chattr_test.sh
root     28227  9769 37 18:36 pts/0    01:05:48 sh -x chattr_test.sh

上面腳本針對的是上傳目錄/data/test下全是文件,沒有子目錄。若是/data/test 下面有子目錄，那麼就在腳本中添加find命令查詢對應子目錄下的文件進行chattr鎖定。

測試效果：
sftp上傳一個新文件A，該文件會實時同步到應用服務器/data/test 目錄下，接着修改A文件並上傳覆蓋到sftp目錄下，則該文件不會覆蓋到應用服務器的同名文件了。