Storage Service (存储服务)

March 20, 2025March 20, 2025

[步骤] Linux audit 日志的查看（判断哪个文件是被哪个用户修改过）

步骤一：查看在 audit 日志中文件被修改的日志编号

# cat /var/log/audit/audit.log | grep test.txt
......
type=PATH msg=audit(1532475291.426:18858423)......
......

（
补充：
1) 这里以查看在 audit 日志中文件 test.txt 被修改的记录为例
2) 从这里的输出结果可以看到此次的修改记录中日志的编号是 18858423
）

步骤二：在 audit 日志中查看和此日志编号相同的的日志里记录的 PPID

# cat /var/log/audit/audit.log | grep ppid | grep 18858423
......
...... ppid=6027281 ......
......

（
补充：
1) 这里以查看在 audit 日志中和日志编号 18858423 相同的的日志里记录的 PPID 为例
2) 这里的日志编号 18858423 是在步骤一中查到的
3) 从这里的输出结果可以看到和此日志编号相同的日志里记录的 PPID 是 6027281
）

步骤三：在系统日志中查看哪个用户登录系统时生成的是此 PPID

# cat /var/log/messages | grep terminal=ssh  | grep 6027281

（
补充：
1) 这里以查看在系统日志中哪个用户登录系统时生成的是 PPID 6027281 为例
2) 这里的 PPID 6027281 是在步骤二中查到的
)

March 14, 2025

[内容] SAMBA 远程共享目录永久挂载参数的案例

案例一：通过域账号挂载 SAMBA 远程共享目录

//10.0.0.1/share/data /mnt/data cifs sec=krb5,multiuser,username=mingyuzhu@ad.eternalcenter.com,dir_mode=0755,file_mode=0755,uid=1000,gid=1000 0 0

（补充：这里以通过域用户 mingyuzhu@ad.eternalcenter.com，目录权限为 0755，文件权限为 0755，本地 UID 为 1000 的用户可以访问，本地 GID 为 1000 的组可以访问，挂载 IP 地址 10.0.0.1 的 Samba 共享目录 /share/data 到本地的 /mnt/data 目录为例）

（注意：此时除了 root 用户、root 组、UID 为 1000 的用户或 GID 为 1000 的组的用户以外的用户查看本地的 /mnt/data 目录的权限时，显示的都是问号 “??????”）

案例二：通过 SAMBA 账号挂载 SAMBA 远程共享目录

//10.0.0.1/share/data /mnt/data cifs defaults,rw,dir_mode=0755,file_mode=0755,username=zhumingyu,password=1 0 0

（补充：这里以通过用户 zhumingyu 密码为 1，目录权限为 0755，文件权限为 0755，挂载 IP 地址 10.0.0.1 的 Samba 共享目录 /share/data 到本地的 /mnt/data 目录为例）

November 22, 2024November 22, 2024

[命令] Linux 命令 sftp 的使用（通过 SFTP 协议传输文件）

正文：

案例一：显示 sftp 命令在执行过程中的详细步骤

# sftp -v 192.168.0.1

（补充：这里以使用 sftp 命令连接 IP 地址 192.168.0.1 为例）

案例二：非交互式将远处的文件拷贝到本地

# sftp eternalcenter@192.168.0.1:/tmp/test.txt

（补充：这里以通过用户 eternalcenter 登录，直接将 IP 地址 192.168.0.1 的文件 /tmp/test.txt 拷贝到本地的当前目录为例）

案例三：非交互式将本地的文件拷贝到远处

# sftp eternalcenter@192.168.0.1:/tmp/ <<< $"put test.txt"

或者：

# a=test;sftp eternalcenter@192.168.0.1:/tmp/ <<< $"put $a.txt"

（补充：这里以通过用户 eternalcenter 登录，直接将本地当前目录的 test.txt 文件拷贝到 IP 地址 192.168.0.1 的 /tmp/ 目录为例）

案例四：通过代理连接

# sftp -v -o ProxyCommand='ncat --proxy 10.0.0.1:10000 --proxy-type http 192.168.0.1 22' eternalcenter@192.168.0.1:/tmp/test.txt

（
补充：这里以
1) 通过代理 IP 地址 10.0.0.1 的 10000 端口，代理协议是 http，连接远程 IP 地址 192.168.0.1 的 22 端口
2) 通过用户 eternalcenter 登录
3) 直接将 IP 地址 192.168.0.1 的文件 /tmp/test.txt 拷贝到本地的当前目录
为例
）

参考文献：

https://www.endpointdev.com/blog/2013/04/socat-and-netcat-proxycommand-ssh
https://www.man7.org/linux/man-pages/man1/ncat.1.html

October 12, 2024November 22, 2024

[步骤] Linux 让 auditd 对所有进程进行监控的设置（让 auditd 日志进程最早被启动）

正文：

步骤一：让 auditd 日志进程最早被启动的目的

auditd 只能监控比它后启动的进程，恶意软件如果比它先启动则无法被其监控

步骤二：让 auditd 日志进程最早被启动

2.1 修改 /etc/default/grub 文件

在这一行里：

GRUB_CMDLINE_LINUX="......"

添加：

GRUB_CMDLINE_LINUX="...... audit=1"

2.2 使刚刚的修改生效

# grub2-mkconfig -o /boot/grub2/grub.cfg

参考文献：

https://access.redhat.com/solutions/971883

June 21, 2024October 12, 2024

[STEP] Linux Audit Log join /var/log/message

Main Content:

Step One: Modify /audit/plugins.d/syslog.conf file

# vim /audit/plugins.d/syslog.conf

Modify part content as follow:

Modify part content as follow:
......
active = no
......

Step Two: Restart auditd Service

# service auditd restart

Reference:

https://access.redhat.com/solutions/637863