System File Security (系统文件安全)

April 21, 2025April 21, 2025

[步骤] Linux 命令的监控（audit 版）

正文：

步骤一：添加监控命令的 audit 规则

1.1 添加监控命令的 audit 规则的格式

-w <command> -p x -k <search_key>

（
补充：
1) 这里的 <command> 是要监控的命令
2) 这里的 <search_key> 是个标识，用于简化在 audit 日志里搜索此命令
）

1.2 添加监控命令的 audit 规则的案例

-w /usr/bin/rm -p x -k rm_command

（
补充：这里以
1) 监控 /usr/bin/rm 命令
2) 标识是 rm_command 为例
）

步骤二：让刚刚添加的规则生效

2.1 合并新添加的 audit 规则

# augenrules

2.2 重启 auditd 服务

# service auditd restart

步骤三：查看新添加的规则

# auditctl -l

步骤四：查看某个表示的 audit 日志

# ausearch -k rm_command

（补充：这里以查看标识为 rm_command 的 audit 日志为例）

参考文献：

https://access.redhat.com/solutions/3401281

March 20, 2025March 20, 2025

[步骤] Linux audit 日志的查看（判断哪个文件是被哪个用户修改过）

步骤一：查看在 audit 日志中文件被修改的日志编号

# cat /var/log/audit/audit.log | grep test.txt
......
type=PATH msg=audit(1532475291.426:18858423)......
......

（
补充：
1) 这里以查看在 audit 日志中文件 test.txt 被修改的记录为例
2) 从这里的输出结果可以看到此次的修改记录中日志的编号是 18858423
）

步骤二：在 audit 日志中查看和此日志编号相同的的日志里记录的 PPID

# cat /var/log/audit/audit.log | grep ppid | grep 18858423
......
...... ppid=6027281 ......
......

（
补充：
1) 这里以查看在 audit 日志中和日志编号 18858423 相同的的日志里记录的 PPID 为例
2) 这里的日志编号 18858423 是在步骤一中查到的
3) 从这里的输出结果可以看到和此日志编号相同的日志里记录的 PPID 是 6027281
）

步骤三：在系统日志中查看哪个用户登录系统时生成的是此 PPID

# cat /var/log/messages | grep terminal=ssh  | grep 6027281

（
补充：
1) 这里以查看在系统日志中哪个用户登录系统时生成的是 PPID 6027281 为例
2) 这里的 PPID 6027281 是在步骤二中查到的
)

March 14, 2025March 14, 2025

[排错] Linux 解决使用 setfacl 命令时报错 “setfacl: …… : Operation not supported”

报错代码：

setfacl: ......: Operation not supported

解决方法（添加 acl 参数）：

临时解决方法（临时在挂载时添加 acl 参数）：

# mount -o remount,acl /mnt

（补充：这里以给挂载的 /mnt 目录添加 acl 参数为例）

永久解决方法（永久在挂载时添加 acl 参数）：

# vi /etc/fstab

将部分内容修改如下：

......
/dev/sda5 /mnt xfs defaults,acl 0 0
......

（补充：这里以给从硬盘 /dev/sda5 挂载到 /mnt 目录的目录添加 acl 参数为例）

October 30, 2024November 8, 2024

[CONTENT] Checking of the integrity and safety of the file in Windows CMD (Complete List of Command)

Method One: Check the MD5 code of the file

>certUtil -hashfile <file> MD5

Or:

> Get-FileHash .\<file> -Algorithm MD5 | Format-List

Method Two: Check the SHA256 code of the file

>certUtil -hashfile <file> SHA256

October 12, 2024November 22, 2024

[步骤] Linux 让 auditd 对所有进程进行监控的设置（让 auditd 日志进程最早被启动）

正文：

步骤一：让 auditd 日志进程最早被启动的目的

auditd 只能监控比它后启动的进程，恶意软件如果比它先启动则无法被其监控

步骤二：让 auditd 日志进程最早被启动

2.1 修改 /etc/default/grub 文件

在这一行里：

GRUB_CMDLINE_LINUX="......"

添加：

GRUB_CMDLINE_LINUX="...... audit=1"

2.2 使刚刚的修改生效

# grub2-mkconfig -o /boot/grub2/grub.cfg

参考文献：

https://access.redhat.com/solutions/971883

正文：

步骤一：添加监控命令的 audit 规则

1.1 添加监控命令的 audit 规则的格式

1.2 添加监控命令的 audit 规则的案例

步骤二：让刚刚添加的规则生效

2.1 合并新添加的 audit 规则

2.2 重启 auditd 服务

步骤三：查看新添加的规则

步骤四：查看某个表示的 audit 日志

参考文献：

步骤一：查看在 audit 日志中文件被修改的日志编号

步骤二：在 audit 日志中查看和此日志编号相同的的日志里记录的 PPID

步骤三：在系统日志中查看哪个用户登录系统时生成的是此 PPID

报错代码：

解决方法 （添加 acl 参数）：

临时解决方法（临时在挂载时添加 acl 参数）：

永久解决方法（永久在挂载时添加 acl 参数）：

Method One: Check the MD5 code of the file

Method Two: Check the SHA256 code of the file

正文：

步骤一：让 auditd 日志进程最早被启动的目的

步骤二：让 auditd 日志进程最早被启动

2.1 修改 /etc/default/grub 文件

2.2 使刚刚的修改生效

参考文献：

解决方法（添加 acl 参数）：