问题
如何查找哪个用户正在删除 Linux 上特定目录下的文件?
https://onitroad.com 更多教程
解决方案
当对特定文件或者目录进行任何更改时,我们可以使用 auditd 服务来记录通知。
下面是一个示例,它将记录对 /tmp/dir 目录下的任何文件所做的任何更改。
- 运行以下命令添加审计规则:
# auditctl -a always,exit -F dir=/tmp/dir/ -F perm=war -k file_del
验证配置的审计规则:
# auditctl -l -w /tmp/dir// -p rwa -k file_del
- 删除/tmp/dir/目录下的一个文件,然后查看audit.log文件:
$ date > /tmp/dir/when $ rm /tmp/dir/when
- 可以通过tailing来查看audit.log:
# tail -f /var/log/audit/audit.log ... type=SYSCALL msg=audit(1515697690.586:2237): arch=c000003e syscall=2 success=yes exit=3 a0=251a9f0 a1=90800 a2=251a9c0 a3=a items=1 ppid=12424 pid=12425 auid=0 uid=501 gid=501 euid=501 suid=501 fsuid=501 egid=501 sgid=501 fsgid=501 tty=pts0 ses=332 comm="bash" exe="/bin/bash" key="file_del" type=CWD msg=audit(1515697690.586:2237): cwd="/home/test" type=PATH msg=audit(1515697690.586:2237): item=0 name="/tmp/dir/" inode=912888 dev=f9:00 mode=040777 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL type=PROCTITLE msg=audit(1515697690.586:2237): proctitle="-bash" type=SYSCALL msg=audit(1515697690.861:2238): arch=c000003e syscall=263 success=yes exit=0 a0=ffffffffffffff9c a1=f2f0c0 a2=0 a3=100 items=2 ppid=12425 pid=12519 auid=0 uid=501 gid=501 euid=501 suid=501 fsuid=501 egid=501 sgid=501 fsgid=501 tty=pts0 ses=332 comm="rm" exe="/bin/rm" key="file_del" type=CWD msg=audit(1515697690.861:2238): cwd="/home/test" type=PATH msg=audit(1515697690.861:2238): item=0 name="/tmp/dir/" inode=912888 dev=f9:00 mode=040777 ouid=0 ogid=0 rdev=00:00 nametype=PARENT type=PATH msg=audit(1515697690.861:2238): item=1 name="/tmp/dir/when" inode=913056 dev=f9:00 mode=0100664 ouid=501 ogid=501 rdev=00:00 nametype=DELETE type=PROCTITLE msg=audit(1515697690.861:2238): proctitle=726D002F746D702F6469722F31
- 或者,可以使用 ausearch 工具搜索日志文件:
# ausearch -k file_del --- time->Thu Jan 11 19:08:10 2018 type=PROCTITLE msg=audit(1515697690.586:2237): proctitle="-bash" type=PATH msg=audit(1515697690.586:2237): item=0 name="/tmp/dir/" inode=912888 dev=f9:00 mode=040777 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL type=CWD msg=audit(1515697690.586:2237): cwd="/home/test" type=SYSCALL msg=audit(1515697690.586:2237): arch=c000003e syscall=2 success=yes exit=3 a0=251a9f0 a1=90800 a2=251a9c0 a3=a items=1 ppid=12424 pid=12425 auid=0 uid=501 gid=501 euid=501 suid=501 fsuid=501 egid=501 sgid=501 fsgid=501 tty=pts0 ses=332 comm="bash" exe="/bin/bash" key="file_del" --- time->Thu Jan 11 19:08:10 2018 type=PROCTITLE msg=audit(1515697690.861:2238): proctitle=726D002F746D702F6469722F31 type=PATH msg=audit(1515697690.861:2238): item=1 name="/tmp/dir/when" inode=913056 dev=f9:00 mode=0100664 ouid=501 ogid=501 rdev=00:00 nametype=DELETE type=PATH msg=audit(1515697690.861:2238): item=0 name="/tmp/dir/" inode=912888 dev=f9:00 mode=040777 ouid=0 ogid=0 rdev=00:00 nametype=PARENT type=CWD msg=audit(1515697690.861:2238): cwd="/home/test" type=SYSCALL msg=audit(1515697690.861:2238): arch=c000003e syscall=263 success=yes exit=0 a0=ffffffffffffff9c a1=f2f0c0 a2=0 a3=100 items=2 ppid=12425 pid=12519 auid=0 uid=501 gid=501 euid=501 suid=501 fsuid=501 egid=501 sgid=501 fsgid=501 tty=pts0 ses=332 comm="rm" exe="/bin/rm" key="file_del"
注意:此审核系统无法阻止不受欢迎的访问。
只能进行审计跟踪条目。
日期:2020-09-17 00:13:40 来源:oir作者:oir