4명만 액세스할 수 있는 Linux 서버(Azure의 VM)가 있고 아무도 그 서버에서 아무 작업도 하지 않습니다. 그러나 일부 파일은 특정 폴더에서 계속 사라집니다.
누구든지 이유와 방법을 알아내도록 도와줄 수 있습니까? 터미널에서 어떤 명령을 사용해야 합니까? 제가 리눅스에 대해 잘 몰라서 이렇게 질문드립니다.
답변1
$ systemctl enable auditd
파일 에 이것을 사용하십시오 /etc/audit/rules.d/audit.rules:
## First rule - delete all
-D
## Increase the buffers to survive stress events.
## Make this bigger for busy systems
# -b 8192
# set from 8k to 1mb
-b 1048576
# 2 is shutdown, 1 is runlevel 1
-f 1
-a always,exit -F arch=b32 -S unlink -F auid>=1000 -F auid!=unset -k delete
-a always,exit -F arch=b64 -S unlink -F auid>=1000 -F auid!=unset -k delete
-a always,exit -F arch=b32 -S unlink,unlinkat,rename,renameat,rmdir -F auid>=1000 -F auid!=unset -k delete
-a always,exit -F arch=b64 -S unlink,unlinkat,rename,renameat,rmdir -F auid>=1000 -F auid!=unset -k delete
-w /etc/passwd -p wa -k watchXXX
$ service auditd restart
/var/log/audit/audit.log그런 다음 파일이 삭제된 시기와 방법에 대한 지침을 확인하세요 . 국기 audit.log별로 검색해 보세요 . 이것이 효과가 있다면 audit.log에서 더 쉽게 찾을 수 있도록 구문을 변경하십시오.delete-k deletedeleteDELETEXYZ
를 사용하여 -w이러한 감사 레코드를 모니터링하고 표시 할 수도 있습니다 -k watchXYZ.
audit.log를 구문 분석하는 것은 말처럼 쉽지 않지만 규칙 파일에서 태그만 검색하면 delete파일/폴더 삭제와 관련된 데이터가 거기에 있을 것입니다.-k delete
노트:아무것도 얻지 못하면 삭제하거나 조정하되 -F auid>=1000 -F auid!=unset짧은 시간 내에 많은 audit.log를 처리할 준비를 하십시오.