Service (服务) – Page 2

June 17, 2025June 18, 2025

[步骤] auditd 日志传送到远端的日志搜集服务器的设置（rsyslog 版）（RHEL 版）

正文：

步骤一：将 auditd 日志转换为系统日志

1.1 安装 audispd-plugins 组件（只在 RHEL 8 和 RHEL 8 之后版本的 RHEL 上操作）

# dnf install audispd-plugins

（注意：只在 RHEL 8 和 RHEL 8 之后版本的 RHEL 上进行此操作）

1.2 将 auditd 日志转换为系统日志

如果是 RHEL 7 和 RHEL 7 之前的版本 RHEL：

# vim /etc/audisp/plugins.d/syslog.conf

将部分内容修改如下：

......
active = yes
......
args = LOG_INFO LOG_LOCAL3
......

（补充：这里以将 auditd 日志转换成系统的 local3 日志为例）

如果是 RHEL 8 和 RHEL 8 之后版本的 RHEL：

# vim /etc/audit/plugins.d/syslog.conf

将部分内容修改如下：

......
active = yes
......
args = LOG_INFO LOG_LOCAL3
......

（补充：这里以将 auditd 日志转换成系统的 local3 日志为例）

步骤二：将系统日志中的 auditd 日志传送到远端的日志搜集服务器

# vi /etc/rsyslog.conf

添加以下内容：

......
local3.info        @remotesyslog.com
local3.info        stop

（补充：这里以将 local3 日志传送到远端的日志搜集服务器 remotesyslog.com 为例）

步骤三：让刚刚修改的 auditd 配置文件生效

如果是 RHEL 6 和 RHEL 6 之前的版本 RHEL：

# service rsyslog restart
# service auditd restart

如果是 RHEL 7 和 RHEL 7 之后版本的 RHEL：

# systemctl restart rsyslog
# service auditd restart

步骤四：检测 auditd 日志是否传送到了远端的日志搜集服务器

4.1 在本地生成 auditd 日志用于检测

# auditctl -m "This is a test auditd message from client"

（补充：这里以在 auditd 日志里写入 1 条内容是 “This is a test auditd message from client” 的日志为例）

4.2 查看本地的系统日志

# tail -f /var/log/messages
...... auditd[......]: ......

（补充：此时可以看到 /var/log/messages 系统日志里有和 auditd 相关的日志）

4.3 在远端的日志搜集服务器检测是否收到 auditd 日志

（步骤略）

参考文献：

https://access.redhat.com/solutions/28676

June 6, 2025August 20, 2025

[CONTENT] The list of Linux Samba ports

Protocal	TCP Ports	UDP Ports	Comment
DNS	53	53
Kerberos	88, 464	88, 464
LDAP	389	389
LDAPS	636	N/A	if used
RPC	135	135
NTP	N/A	123	Time sync should be enabled and time accurate
Global Catalog	3268, 3269	N/A	If used by AD
SMB	445, 139	N/A
Netbios	N/A	137, 138
RPC	49152-65535	N/A	Some Active Directory services can use high ports RPC

April 21, 2025April 21, 2025

[排错] 解决 Linux 使用 mount 命令时报错 “mount error(13) permission denied”

报错代码：

mount error(13) permission denied

解决思路：通过 dmesg 命令查看 kernel log 从确定问题出在哪里

# dmesg
......

March 20, 2025March 20, 2025

[步骤] Linux audit 日志的查看（判断哪个文件是被哪个用户修改过）

步骤一：查看在 audit 日志中文件被修改的日志编号

# cat /var/log/audit/audit.log | grep test.txt
......
type=PATH msg=audit(1532475291.426:18858423)......
......

（
补充：
1) 这里以查看在 audit 日志中文件 test.txt 被修改的记录为例
2) 从这里的输出结果可以看到此次的修改记录中日志的编号是 18858423
）

步骤二：在 audit 日志中查看和此日志编号相同的的日志里记录的 PPID

# cat /var/log/audit/audit.log | grep ppid | grep 18858423
......
...... ppid=6027281 ......
......

（
补充：
1) 这里以查看在 audit 日志中和日志编号 18858423 相同的的日志里记录的 PPID 为例
2) 这里的日志编号 18858423 是在步骤一中查到的
3) 从这里的输出结果可以看到和此日志编号相同的日志里记录的 PPID 是 6027281
）

步骤三：在系统日志中查看哪个用户登录系统时生成的是此 PPID

# cat /var/log/messages | grep terminal=ssh  | grep 6027281

（
补充：
1) 这里以查看在系统日志中哪个用户登录系统时生成的是 PPID 6027281 为例
2) 这里的 PPID 6027281 是在步骤二中查到的
)

March 14, 2025August 20, 2025

[内容] SAMBA 远程共享目录永久挂载参数的案例

案例一：通过域账号挂载 SAMBA 远程共享目录

//10.0.0.1/share/data /mnt/data cifs sec=krb5,multiuser,username=mingyuzhu@ad.eternalcenter.com,dir_mode=0755,file_mode=0755,uid=1000,gid=1000 0 0

（补充：这里以通过域用户 mingyuzhu@ad.eternalcenter.com，目录权限为 0755，文件权限为 0755，本地 UID 为 1000 的用户可以访问，本地 GID 为 1000 的组可以访问，挂载 IP 地址 10.0.0.1 的 Samba 共享目录 /share/data 到本地的 /mnt/data 目录为例）

（注意：此时除了 root 用户、root 组、UID 为 1000 的用户或 GID 为 1000 的组的用户以外的用户查看本地的 /mnt/data 目录的权限时，显示的都是问号 “??????”）

案例二：通过 SAMBA 账号挂载 SAMBA 远程共享目录

//10.0.0.254/Linux /Linux cifs username=Linux,password=eternalcenter 0 0

（补充：这里以通过用户 Linux 密码为 password，挂载 IP 地址 10.0.0.254 的 Samba 共享目录 /Linux 到本地的 /Linux 目录为例）

案例三：通过 SAMBA 账号挂载 SAMBA 远程共享目录（附带其他参数）

//10.0.0.1/share/data /mnt/data cifs defaults,rw,dir_mode=0755,file_mode=0755,username=zhumingyu,password=1 0 0

（补充：这里以通过用户 zhumingyu 密码为 1，目录权限为 0755，文件权限为 0755，挂载 IP 地址 10.0.0.1 的 Samba 共享目录 /share/data 到本地的 /mnt/data 目录为例）

正文：