У мене на сервері працює сценарій форуму, і якось невелика кількість вкладених файлів починає губитися. Я хочу з’ясувати, що їх видаляє та в який час. Як я можу налаштувати Linux auditd (auditctl) для перегляду дерева каталогів (вкладення зберігаються всередині багаторівневого дерева каталогів), щоб спостерігати за видаленнями файлів там?
Можливо, я повинен використовувати для цього якийсь інший інструмент?
Відповіді:
Це відповідь, яку я написав на попереднє запитання:
Як правило, якщо ви хочете знати, що робить процес / користувач / файл, не запускаючи lsof проти нього 24/7, ви використовуєте auditctl.
Якщо припустити, що у вас нещодавній контроль аудиту ядра повинен бути простою операцією. (Це в Debian-fu, якщо ви використовуєте переклади Red Hat, якщо потрібно)
# apt-get install auditdПереконайтесь, що його працює (/etc/init.d/auditd статус).
auditctl -a entry,always -F arch=b64 -S open -F pid=<process id>Замініть b64 на b32, якщо ви працюєте з 32-розрядною аркою, відкриту можна замінити будь-яким системним викликом або словом "все"
Для більш детального ознайомлення зі сторінкою Audctl.
Ви можете використовувати цей метод і попросити його спостерігати за системним викликом "відключення".
Параметр -w корисний для перегляду файлів / каталогів, але, як пояснює сторінка man, є застереження.
-w шлях Вставте годинник для об'єкта файлової системи у шлях. Ви не можете вставити годинник у каталог верхнього рівня. Це заборонено ядром. Замісні символи також не підтримуються, і вони генерують попередження. Спосіб роботи годин - це відстеження внутрішньої внутрішньої точки. Це означає, що якщо поставити годинник на каталог, ви побачите, що видається подіями файлів, але це насправді лише оновлення метаданих. Ви можете пропустити кілька подій, зробивши це. Якщо вам потрібно переглянути всі файли в каталозі, рекомендується розмістити окремий годинник на кожному файлі. На відміну від правил аудиту системних викликів, годинник не впливає на продуктивність, грунтуючись на кількості правил, що надсилаються ядру.
Може, інкрон можна було б використати?
Пару ідей. Ви можете використовувати, straceщоб побачити, що робить ваша програма, але це може створити журнал журналів і може сповільнити роботу системи.
Інша ідея полягає у використанні inotifywait, а потім lsof/fuserу файлі, щоб побачити, що він використовує. Ви можете спробувати запустити цей сценарій з високим пріоритетом (якщо зможете), щоб мати інформацію максимально точну. Він, ймовірно, не зловить unlinkвиклик, оскільки файл буде видалений до доставки події.
-fпрапором, щоб слідкувати за дітьми.
Хоча аудиторна рекомендація fenix здається ідеальною, ви можете виявити ідентифікацію файлової системи, наприклад AIDE, корисною. На жаль, навряд чи буде достатньо дрібнозернистим для того, що ви намагаєтеся виділити.
Я часто пишу сценарії як рішення таких проблем, як те, що ви описуєте. Якщо ви не можете досягти необхідного рішення, рекомендованого рішення, напишіть щось самостійно. Часто це не дуже складно.