Sunucuda çalışan bir forum komut dosyası var ve bir şekilde az sayıda ekleri kaybolmaya başlar. Onları neyin ne zaman sildiğini öğrenmek istiyorum. Orada dosya silmelerini izlemek için Linux denetimini (auditctl) dizin ağacını izlemek için nasıl ayarlayabilirim (ekler çok düzeyli dizin ağacında saklanır)?
Bunun için başka bir araç kullanmalıyım?
Yanıtlar:
Bu, önceki bir soruya yazdığım bir cevaptır:
Genellikle bir işlem / kullanıcı / dosyanın ne yaptığını bilmek istiyorsanız, 7/24 ona karşı lsof çalıştırmak zorunda kalmadan auditctl kullanırsınız.
Yakın zamanda yapılan bir çekirdek denetim denetimine sahip olduğunuzu varsayarsak, basit bir işlem olmalıdır. (Bu, Red Hat translate'i uygun şekilde çalıştırıyorsanız, Debian-fu'dadır)
# apt-get install auditdÇalıştığından emin olun (/etc/init.d/auditd status).
auditctl -a entry,always -F arch=b64 -S open -F pid=<process id>32 bit kemer çalıştırıyorsanız, b64'ü b32 ile değiştirin, açık herhangi bir sistem çağrısı veya 'all' sözcüğü ile değiştirilebilir
Daha fazla bilgi için auditctl man sayfasını okuyun.
Bu yöntemi kullanabilir ve 'bağlantıyı kaldır' sistem çağrısını izlemesini isteyebilirsiniz.
-W parametresi dosyaları / dizinleri izlemek için kullanışlıdır, ancak man sayfasının açıkladığı gibi uyarılar vardır.
-w yol Yoldaki dosya sistemi nesnesi için bir saat ekler. Üst düzey dizine saat ekleyemezsiniz. Bu çekirdek tarafından yasaklanmıştır. Joker karakterler de desteklenmez ve bir uyarı oluşturur. Saatlerin çalışma şekli inode'u dahili olarak takip etmektir. Bu, bir dizine saat takarsanız, dosya olayları gibi görünen şeyleri göreceğiniz anlamına gelir, ancak bu gerçekten sadece meta verilerin güncellenmesidir. Bunu yaparak birkaç olayı kaçırabilirsiniz. Bir dizindeki tüm dosyaları izlemeniz gerekiyorsa, her dosyaya ayrı bir saat yerleştirilmesi önerilir. Sistem denetleme kurallarından farklı olarak, saatler çekirdeğe gönderilen kuralların sayısına göre performansı etkilemez.
Belki incron kullanılabilir mi?
Birkaç fikir. straceUygulamanızın ne yaptığını görmek için kullanabilirsiniz , ancak bir günlük kaydı oluşturabilir ve sistemi yavaşlatabilir.
Başka bir fikir kullanmaktır inotifywait, daha sonra lsof/fuserne kullandığını görmek için dosyada. Mümkün olduğunca doğru bilgilere sahip olmak için bu komut dosyasını yüksek öncelikli olarak (çalışabiliyorsanız) çalıştırmayı deneyebilirsiniz. unlinkOlay teslim edilmeden önce dosya kaybolacağından, muhtemelen aramayı yakalamaz .
-fiçin, çocukları takip etmek için ana ebeveyn sürecini bayrakla izlemelisiniz.
Fenix'in denetim önerisi ideal görünse de, AIDE gibi bir dosya sistemi IDS'sini yararlı bulabilirsiniz. Ne yazık ki, izole etmeye çalıştığınız şey için yeterince ince olması muhtemel değildir.
Açıkladığınız gibi sorunların çözümü için genellikle komut dosyaları yazacağım. İstediğiniz şeyi önerilen çözümlerle başaramıyorsanız, kendiniz bir şeyler yazın. Genellikle çok karmaşık değildir.