이것은 제가 현재 겪고 있는 질문이 아닌 가정적인 질문입니다.
현재 어떤 프로세스가 파일을 사용하고 있는지 확인하는 방법아니면 과거에?
어떤 프로세스가 액세스 중이거나 filename작업 을 수행할지 알아보세요 . 하지만 어떤 프로세스에 액세스했는지 알고 싶다면 어떻게 해야 할까요?lsof filenamefuser filenamefilename 지난 24시간 동안?
사람들이 이 추악한 (*) 해킹을 피해갈 수 있을까요?
while true; do fuser filename; sleep 1; done
다음 학기 동안 24시간 동안 실행되도록 하세요. 하지만 완전한 감사 프레임워크를 구축하지 않고 실제로 더 나은 시스템이 있을까요?
fuser(*) 1초 미만이면 접근이 감지되지 않을 수도 있다는 점은 말할 것도 없고 ...
답변1
시스템에 감사가 활성화되어 있는 경우 이 하위 시스템을 사용하여 특정 파일에 대한 액세스를 감사할 수 있습니다.
예를 들어 파일을 열거나 열려고 시도하는 파일을 감사하려면 /etc/shadow다음 규칙을 사용할 수 있습니다.
auditctl -a exit,always -S open -F path=/etc/shadow
나중에 이 명령을 사용하여 이 파일에 대한 액세스에 해당하는 감사 이벤트를 나열할 수 있습니다.
ausearch -f /etc/shadow
감사 시스템을 구성하고 쿼리하려면 루트여야 합니다.
보다감사 통제(8)규칙을 설정하는 방법을 알아보려면 매뉴얼 페이지를 참조하세요.호주 연구 센터(8)감사 로그를 쿼리하는 방법에 대한 자세한 내용은 매뉴얼 페이지를 참조하십시오.
감사를 활성화하지 않은 경우 세부 사항이 다를 수 있으므로 Linux 배포판에 대해 감사를 수행하는 방법에 대한 정보를 찾아야 합니다.