本文探讨在具有加密主目录和恶意软件扫描程序的环境中运行 cron 作业的含义和解决方案。

加密主目录通常用于通过加密用户主目录的内容来保护用户的个人数据。此目录仅在用户登录时解密和挂载，从而提供额外的安全保障。

要创建具有加密主目录的新用户，可以使用以下命令：

adduser --encrypt-home username

登录到主机系统后，用户必须通过用户操作挂载加密的主目录：

Access-Your-Private-Data.desktop  README.txt

然而，这种加密对于需要访问主目录内的文件的 cron 作业来说可能带来挑战，特别是当这些作业应该在用户未登录时运行时。

Cron Jobs 现在的问题是什么？

Cron 作业允许在预定的时间执行任务。这些任务可以基于系统范围或按用户定义。要编辑、创建或删除 Cron 作业，您可以使用以下命令：

crontab -e

用户特定的 cron 作业存储在用户的主目录中，如果加密，则在 cron 作业应该运行时可能无法访问。

使用加密主目录运行 Cron 作业的解决方案

系统范围的 Cron 作业

一种有效的解决方案是使用系统范围的 cron 作业/etc/crontab。这些作业在类似或 的文件中定义/etc/cron.d/，可以作为任何指定用户运行。由于这些 cron 作业不存储在单个用户的主目录中，因此它们不受加密的影响。

例子

• 创建脚本： 将脚本放在非加密目录中，例如/usr/local/bin/。例如，创建一个脚本来备份您的主目录：

#!/bin/bash
tar -czf /backup/home_backup.tar.gz /home/username/

确保脚本可执行：

sudo  chmod  + x /usr/local/bin/backup.sh

• 定义 cron 作业： 编辑系统范围的 crontab 文件来安排您的作业：

sudo crontab -e

添加以下行以每天凌晨 2 点运行脚本：

0 2 * * * username /usr/local/bin/backup.sh

用户特定的 Cron 任务

另一种有效的方法是使用用户特定的 cron 作业。如果您需要以特定用户身份运行 cron 作业并访问加密主目录中的文件，则可以采用以下几种策略：

• 确保主目录已挂载：在 cron 作业运行之前，确保加密的主目录已挂载且可访问。这通常意味着用户需要登录。
• 安全处理解密：如果在脚本中处理解密，请ecryptfs-unwrap-passphrase谨慎使用工具。确保密码和敏感数据得到安全处理。
• 延迟作业调度：安排 cron 作业在用户可能登录时运行，确保主目录被解密。
• 使用@reboot：@rebootcron 指令在系统启动时运行脚本。这可以在用户登录之前设置必要的环境变量或挂载点。

例子：

• 使用@reboot，创建执行必要任务的脚本：

#!/bin/bash
# Script to run at system startup
# Ensure environment is set up
/usr/local/bin/your_startup_script.sh

• 添加 cron 作业以在重启时运行：

crontab -e

• 添加以下行：

@reboot /usr/local/bin/your_startup_script.sh

Cron jobs 和恶意软件防护

现在，让我们考虑如何在执行恶意软件扫描程序的加密主目录上使用 cron 作业。

ClamAV (Clam AntiVirus) 是一款流行的开源防病毒引擎，用于检测恶意软件。clamscan是 ClamAV 的命令行扫描程序组件。要设置 cron 作业以clamscan定期在加密的主目录上运行，您可以按照以下步骤操作：

首先，确保你的系统上安装了 ClamAV。在大多数Linux发行版中，你可以使用包管理器安装它。

sudo apt-get update
sudo apt-get install clamav clamav-daemon

在运行扫描之前，请更新病毒定义。可以使用以下freshclam命令完成此操作：

sudo freshclam

创建一个运行的脚本clamscan并将其放在非加密目录中。

scan_home.sh创建一个名为的脚本/usr/local/bin/：

sudo nano /usr/local/bin/scan_home.sh

在脚本中添加以下内容：

#!/bin/bash

# Directory to scan
SCAN_DIR="/home/username"

# Log file
LOG_FILE="/var/log/clamav/scan_log.txt"

# Run clamscan
clamscan -r $SCAN_DIR --log=$LOG_FILE

使脚本可执行：

sudo chmod +x /usr/local/bin/scan_home.sh

编辑系统范围crontab以安排扫描。使用以下命令打开 crontab 文件：

sudo crontab -e

添加以下行来安排脚本运行，例如每天凌晨 3 点运行：

0 3 * * * /usr/local/bin/scan_home.sh

其他注意事项

• 处理加密的主目录

如果您的主目录已加密，并且您想要确保在目录可访问时运行扫描，请在用户通常登录时安排 cron 作业，或者使用系统范围的 cron 作业，如上所示。

• 日志轮换

确保日志文件不会无限增大。您可以使用日志轮换工具（例如）来管理这一点logrotate。

• 电子邮件提醒

可选地，配置脚本以在发现恶意软件时发送电子邮件警报。这需要 MTA（邮件传输代理），例如sendmail或postfix。

例子：

作为最后一个例子，让我们看一下带有发送电子邮件通知的脚本的 cron 作业。

这是该脚本的增强版本，如果检测到恶意软件，它会发送电子邮件：

编辑scan_home.sh：

sudo nano /usr/local/bin/scan_home.sh

添加以下内容：

#!/bin/bash

# Directory to scan
SCAN_DIR="/home/username"

# Log file
LOG_FILE="/var/log/clamav/scan_log.txt"

# Email address for alerts
EMAIL="user@example.com"

# Run clamscan
clamscan -r $SCAN_DIR --log=$LOG_FILE

# Check if any malware was found
if grep -q "Infected files: [1-9]" $LOG_FILE; then
    mail -s "ClamAV Malware Alert" $EMAIL < $LOG_FILE
fi

确保脚本可执行：

sudo  chmod  + x /usr/local/bin/scan_home.sh

添加 cron 作业：

sudo crontab -e

安排工作，例如每天凌晨 3 点：

0  3 * * * /usr/local/bin/scan_home.sh

总结

• 权限：确保 cron 作业和脚本具有正确的权限，并且运行该作业的用户具有必要的访问权限。
• 安全性：处理脚本中的密码和敏感数据时要小心谨慎，以免危及安全。
• 测试：彻底测试您的 cron 作业以确保它们按预期运行，特别是在加密主目录的环境中。

通过遵循这些准则，您可以有效地管理具有加密主目录的 Linux 系统上的 cron 作业，确保您的自动化任务顺利、安全地运行。

您还可以设置一个 cron 作业clamscan定期运行，以确保即使您的主目录已加密，系统也会被扫描以查找恶意软件。根据需要调整扫描时间和日志处理以适合您的环境和使用模式。如果您不喜欢clamscan，有几种clamscan在 Linux 系统上扫描恶意软件的替代方法。一种流行的替代方法是Lynis，它是一种基于 Unix 的系统的安全审计工具。它可用于扫描安全问题，包括恶意软件。另一种clamscan在 Linux 系统上扫描恶意软件的替代方法是Chkrootkit。在这两种情况下，cronjob 的设置都是相同的。