System Log (系统日志) – Eternal Center

November 22, 2024November 22, 2024

[步骤] Linux 排错报告的生成

步骤一：新开 1 个端口开启 tcpdump 命令生成 TCP 报告

# tcpdump -s 0 -i INTERFACE -w /tmp/tcpdump.pcap

（补充：这里以生成名为 /tmp/tcpdump.pcap 的 TCP 报告为例）

步骤二：新开 1 个端口使用 strace 命令生成追踪报告

# strace -fvttTyy -s 4096 -o /tmp/strace.log

（补充：这里以生成名为 /tmp/strace.log 的追踪报告为例）

步骤三：执行会报错的步骤

# mount -vvv -t cifs -o username=<share user>,password=<share password>,domain=<share domain> //<share folder> /mnt

（补充：这里以挂载 Samba 目录为例）

步骤四：分析刚刚生成的 TCP 报告和追踪报告

（注意：在本文章中，在前面生成的 TCP 报告是 /tmp/tcpdump.pcap 追踪报告是 /tmp/strace.log）

October 12, 2024November 22, 2024

[步骤] Linux 让 auditd 对所有进程进行监控的设置（让 auditd 日志进程最早被启动）

正文：

步骤一：让 auditd 日志进程最早被启动的目的

auditd 只能监控比它后启动的进程，恶意软件如果比它先启动则无法被其监控

步骤二：让 auditd 日志进程最早被启动

2.1 修改 /etc/default/grub 文件

在这一行里：

GRUB_CMDLINE_LINUX="......"

添加：

GRUB_CMDLINE_LINUX="...... audit=1"

2.2 使刚刚的修改生效

# grub2-mkconfig -o /boot/grub2/grub.cfg

参考文献：

https://access.redhat.com/solutions/971883

July 24, 2024July 24, 2024

[步骤] Linux SCAP （Security Content Automation Protocol）的生成（Linux 开源安全报道的生成）

正文：

步骤一：安装 openscap 和相关组件

如果是 RHEL：

# yum install openscap openscap-scanner

如果是 SLE：

# zypper install openscap openscap-utils scap-security-guide

步骤二：下载最新的 SUSE 官方 OVAL 文件

2.1 进入存放下载的官方 OVAL 文件的目录

# cd /root

（补充：这里以把官方的 OVAL 文件下载到 /root 目录为例）

2.2 下载最新的官方 OVAL 文件

如果是 RHEL：

# wget -O - https://access.redhat.com/security/data/oval/v2/RHEL9/rhel-9.oval.xml.bz2

（补充：这里以下载 RHEL 9 官方的 OVAL 文件为例）

如果是 SLES：

# wget https://ftp.suse.com/pub/projects/security/oval/suse.linux.enterprise.15-patch.xml.bz2

（补充：这里以下载 SLE 15 官方的 OVAL 文件为例）

2.2 解压下载下来的 OVAL 文件

如果是 RHEL：

# bzip2 -d rhel-9.oval.xml.bz2

（补充：这里以解压 rhel-9.oval.xml.bz2 文件为例）

如果是 SLES：

# bzip2 -d suse.linux.enterprise.15-patch.xml.bz2

（补充：这里以解压 suse.linux.enterprise.15-patch.xml.bz2 文件为例）

步骤三：使用 SUSE 官方的 OVAL 文件生成 SCAP （Security Content Automation Protocol）报告

如果是 RHEL：

# oscap oval eval  --report /root/rhel9.5_report20240101.html /root/rhel-9.oval.xml

（补充：这里以用刚刚下载的官方的 OVAL 文件生成名为 rhel9.5_report20240101.html 的 SCAP （Security Content Automation Protocol）报告文件，并放在 /root 目录下为例）

如果是 SLES：

# oscap oval eval --report /root/sles15.5_report_20240101.html /root/suse.linux.enterprise.15-patch.xml

（补充：这里以用刚刚下载的官方的 OVAL 文件生成名为 sles15.5_report_20240101.html 的 SCAP （Security Content Automation Protocol）报告文件，并放在 /root 目录下为例）

参考文献：

https://documentation.suse.com/compliance/all/html/SLES-openscap/index.html

June 21, 2024October 12, 2024

[STEP] Linux Audit Log join /var/log/message

Main Content:

Step One: Modify /audit/plugins.d/syslog.conf file

# vim /audit/plugins.d/syslog.conf

Modify part content as follow:

Modify part content as follow:
......
active = no
......

Step Two: Restart auditd Service

# service auditd restart

Reference:

https://access.redhat.com/solutions/637863

May 12, 2024June 3, 2024

[COMMAND] openSUSE & SLES command supportconfig (Collect all system troubleshooting log)

Step One: Make sure supportutils has been installed

# rpm -q supportutils
supportutils-3.1.21-150300.7.35.15.1.noarch

(Add: If there is no output, it means supportutils need be installed)

Step Two: Input supportconfig command

# supportconfig

步骤一：新开 1 个端口开启 tcpdump 命令生成 TCP 报告

步骤二：新开 1 个端口使用 strace 命令生成追踪报告

步骤三：执行会报错的步骤

步骤四：分析刚刚生成的 TCP 报告和追踪报告

正文：

步骤一：让 auditd 日志进程最早被启动的目的

步骤二：让 auditd 日志进程最早被启动

2.1 修改 /etc/default/grub 文件

2.2 使刚刚的修改生效

参考文献：

正文：

步骤一：安装 openscap 和相关组件

步骤二：下载最新的 SUSE 官方 OVAL 文件

2.1 进入存放下载的官方 OVAL 文件的目录

2.2 下载最新的官方 OVAL 文件

2.2 解压下载下来的 OVAL 文件

步骤三：使用 SUSE 官方的 OVAL 文件生成 SCAP （Security Content Automation Protocol） 报告

参考文献：

Main Content:

Step One: Modify /audit/plugins.d/syslog.conf file

Step Two: Restart auditd Service

Reference:

步骤三：使用 SUSE 官方的 OVAL 文件生成 SCAP （Security Content Automation Protocol）报告