가끔 /tmp 폴더에서 의심스러운 파일을 발견하면 맬웨어 감지 기능이 해당 파일을 정리합니다. 하지만 이 파일을 업로드한 사람이 누구인지, 어떤 스크립트와 사용자 계정이 사용되었는지 알고 싶습니다. /tmp 폴더에 항목만 지속적으로 기록하고 해당 폴더에 있는 각 파일의 IP 및 액세스 시간만 포함하는 로그 파일을 생성하는 방법이 있습니까?
다른 모든 기존 로그에서 항목을 찾으려고 했지만 어떤 로그 파일에서도 항목을 찾을 수 없습니다.
감사해요.
답변1
감사 하위 시스템을 사용하여 누가 /tmp에 파일을 생성했는지 알아보세요. 먼저 감사 데몬(auditd)이 실행 중인지 확인하세요.
# service auditd status
Redirecting to /bin/systemctl status auditd.service
● auditd.service - Security Auditing Service
Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
Active: active (running) since Wed 2017-08-30 03:43:01 EDT; 2 days ago
그런 다음 /tmp 디렉터리에 대한 쓰기(예: 파일 생성, 삭제 및 이름 바꾸기)를 모니터링하는 규칙을 추가합니다.
# auditctl -w /tmp -p w -k "tmp"
그러면 /tmp 디렉토리에 감시가 생성되고 모든 쓰기가 감사 로그에 기록됩니다. 로그는 /var/log/audit에 있습니다. "tmp"를 사용하여 모든 항목을 찾을 수 있습니다.