内容一:zgrep 命令的用法
和 grep 命令相同
内容二:zgrep 命令的选项
和 grep 命令相同,除了以下选项
1) –dereference-recursive 或者 -R
2) –directories 或者 -d
3) –exclude
4) –exclude-from
5) –exclude-dir
6) –include
7) –null 或者 -Z
8) –null-data 或者 -z
9) –recursive 或者 -r
[步骤] Linux 加密硬盘新解密密码的添加
注意:在新解密密码添加之前需要先加密硬盘
正文:
步骤一:取消加密硬盘的加载
# umount /dev/mysqldatavg/mysqldatalv步骤二:关闭 LUKS 解密映射 (解锁逻辑卷)
# cryptsetup luksOpen /dev/mapper/mysqldatavg-mysqldatalv mysqldata之后输入 /dev/mapper/mysqldatavg-mysqldatalv 的解密密码
(补充:这里的 mysqldata 是解锁后的硬件名称)
步骤三:添加新的解密密码
# cryptsetup luksAddKey UUID="2eg8c60ac-103k-4771-k31r-14t93b06226a" --key-file /root/keyfile(
补充:
1) 这里的 2eg8c60ac-103k-4771-k31r-14t93b06226a 是新添加的解密密码
2) 这里的 /root/keyfile 是原来的用来解密加密硬盘的密钥
)
步骤四:开启 LUKS 解密映射 (加密逻辑卷)
# cryptsetup luksOpen UUID="2eg8c60ac-103k-4771-k31r-14t93b06226a" mysqldatalv(
补充:
1) 这里的 2eg8c60ac-103k-4771-k31r-14t93b06226a 是刚刚添加的解密密码
2) 这里的 mysqldata 是解密后的硬件名称
)
[命令] Linux 命令 shred (删除目录或文件)
正文:
内容一:shred 命令的作用
shred 的作用是删除文件。和 rm 命令不同的是 shred 在删除前会通过多次 (默认 3 次) 覆盖的方式防止数据被删除
(
注意:
1) 多次覆写大文件会消耗较多时间和 I/O 资源
2) 由于 SSD 的磨损均衡技术,shred 在 SSD 上可能无法完全擦除数据
)
内容二:shred 命令的格式
# shred <option> <file>内容三:shred 命令的选项
1) -n <覆写的次数>,设置覆写的次数
2) -z ,最后用零进行覆写,以隐藏 shred 命令的痕迹
3) -u ,覆写后删除文件
4) -v ,显示详细过程
5) -f ,强制写入,若需要则修改权限
6) -x ,不处理超过文件大小的块
内容四:shred 命令的案例
4.1 以指定覆写次数的方式删除文件
# shred -n 5 -v test.txt(补充:这里以覆写 5 次的方式删除 test.txt 文件为例)
4.2 以随机覆写次数的方式删除文件
# shred --random-source=/dev/urandom -v test.txt(补充:这里以随机覆写次数的方式删除 test.txt 文件为例)
补充:
补充一:使用 dd 命令删除文件
# dd if=/dev/zero of=test.txt bs=1M count=10(补充:这里以每次容量是 1M,覆写文件 test.txt 10 次为例)
补充二:使用 wipe 命令删除文件
# wipe -r -q test.txt(补充:以清除 test.txt 文件为例)
[步骤] Linux 命令的监控 (audit 版)
正文:
步骤一:添加监控命令的 audit 规则
1.1 添加监控命令的 audit 规则的格式
配置文件格式:
-w <command> -p x -k <search_key>命令格式:
# auditcl -w <command> -p x -k <search_key>(
补充:
1) 这里的 <command> 是要监控的命令
2) 这里的 <search_key> 是个标识,用于简化在 audit 日志里搜索此命令
)
1.2 添加监控命令的 audit 规则的案例
配置文件的案例:
-w /usr/bin/rm -p x -k rm_command命令案例:
# auditcl -w /usr/bin/rm -p x -k rm_command(
补充:这里以
1) 监控 /usr/bin/rm 命令
2) 标识是 rm_command 为例
)
步骤二:让刚刚添加的规则生效
2.1 合并新添加的 audit 规则
# augenrules2.2 重启 auditd 服务
# service auditd restart步骤三:查看新添加的规则
# auditctl -l步骤四:查看某个表示的 audit 日志
# ausearch -k rm_command(补充:这里以查看标识为 rm_command 的 audit 日志为例)
参考文献:
https://access.redhat.com/solutions/3401281
[步骤] Linux audit 日志的查看 (判断哪个文件是被哪个用户修改过)
步骤一:查看在 audit 日志中文件被修改的日志编号
# cat /var/log/audit/audit.log | grep test.txt
......
type=PATH msg=audit(1532475291.426:18858423)......
......(
补充:
1) 这里以查看在 audit 日志中文件 test.txt 被修改的记录为例
2) 从这里的输出结果可以看到此次的修改记录中日志的编号是 18858423
)
步骤二:在 audit 日志中查看和此日志编号相同的的日志里记录的 PPID
# cat /var/log/audit/audit.log | grep ppid | grep 18858423
......
...... ppid=6027281 ......
......(
补充:
1) 这里以查看在 audit 日志中和日志编号 18858423 相同的的日志里记录的 PPID 为例
2) 这里的日志编号 18858423 是在步骤一中查到的
3) 从这里的输出结果可以看到和此日志编号相同的日志里记录的 PPID 是 6027281
)
步骤三:在系统日志中查看哪个用户登录系统时生成的是此 PPID
# cat /var/log/messages | grep terminal=ssh | grep 6027281(
补充:
1) 这里以查看在系统日志中哪个用户登录系统时生成的是 PPID 6027281 为例
2) 这里的 PPID 6027281 是在步骤二中查到的
)