[步骤] Linux 文件的监控 (audit 版)

正文:

步骤一:添加监控命令的 audit 规则

1.1 添加监控命令的 audit 规则的格式

配置文件格式:

-w <file> -p wa -k <search_key>

命令格式:

# auditctl -w <file> -p wa -k <search_key>


补充:
1) 这里的 <file> 是要监控的文件
2) 这里的 <search_key> 是个标识,用于简化在 audit 日志里搜索此命令

1.2 添加监控命令的 audit 规则的案例

配置文件的案例:

-w /etc/group -p wa -k group_file

命令案例:

# auditctl -w /etc/group -p wa -k group_file


补充:这里以
1) 监控 /etc/group 文件
2) 标识是 group_file 为例

步骤二:让刚刚在配置文件里添加的规则生效

2.1 合并新添加的 audit 规则

# augenrules

2.2 重启 auditd 服务

# service auditd restart

步骤三:查看新添加的规则

# auditctl -l

步骤四:查看某个表示的 audit 日志

# ausearch -k group_file

(补充:这里以查看标识为 group_file 的 audit 日志为例)

参考文献:

https://access.redhat.com/solutions/3401281

[排错] 解决 Ubuntu dpkg 数据库损坏 (apt 更新到一半时意外中断)

解决方法:

步骤一:重新配置 dpkg 数据库

# sudo dpkg --configure -a

步骤二:修复 apt 的中断

# sudo apt install --fix-broken

步骤三:删除报错的软件包

# sudo apt remove --purge postfix

(补充:这里以删除报错的 postfix 软件包为例)

步骤四:删除不用的软件包

4.1 清理 apt 缓存

# sudo apt clean

4.2 删除不用的软件包

# sudo apt autoremove

步骤五:更新所有软件包

5.1 下载所有需要更新的软件包

# sudo apt update

5.2 升级所有软件包

# sudo apt upgrade

步骤六:重新安装前面报错并删除的软件包

# sudo apt-get install postfix

(补充:这里以重新安装前面报错并删除的 postfix 软件包为例)

[内容] 软件源的设置 (Ubuntu 版)

内容一:添加 Ubuntu 软件源

# cat /etc/apt/sources.list
# Ubuntu sources have moved to /etc/apt/sources.list.d/ubuntu.sources
# vim /etc/apt/sources.list.d/ubuntu.sources

创建以下内容:

Types: deb
URIs: http://security.ubuntu.com/ubuntu/
Suites: noble-security
Components: main restricted universe multiverse
Signed-By: /usr/share/keyrings/ubuntu-archive-keyring.gpg

内容二:添加第 3 方软件源

# cat /etc/apt/sources.list
# Ubuntu sources have moved to /etc/apt/sources.list.d/ubuntu.sources
# vim /etc/apt/sources.list.d/ubuntu.sources

创建以下内容:

Types: deb
URIs: http://mirrors.aliyun.com/ubuntu/
Suites: noble noble-updates noble-backports
Components: main restricted universe multiverse
Signed-By: /usr/share/keyrings/ubuntu-archive-keyring.gpg

(补充:这里以添加阿里云的软件源为例)