[步骤] Linux 文件的监控 (audit 版)

正文:

步骤一:添加监控命令的 audit 规则

1.1 添加监控命令的 audit 规则的格式

配置文件格式:

-w <file> -p wa -k <search_key>

命令格式:

# auditctl -w <file> -p wa -k <search_key>


补充:
1) 这里的 <file> 是要监控的文件
2) 这里的 <search_key> 是个标识,用于简化在 audit 日志里搜索此命令

1.2 添加监控命令的 audit 规则的案例

配置文件的案例:

-w /etc/group -p wa -k group_file

命令案例:

# auditctl -w /etc/group -p wa -k group_file


补充:这里以
1) 监控 /etc/group 文件
2) 标识是 group_file 为例

步骤二:让刚刚在配置文件里添加的规则生效

2.1 合并新添加的 audit 规则

# augenrules

2.2 重启 auditd 服务

# service auditd restart

步骤三:查看新添加的规则

# auditctl -l

步骤四:查看某个表示的 audit 日志

# ausearch -k group_file

(补充:这里以查看标识为 group_file 的 audit 日志为例)

参考文献:

https://access.redhat.com/solutions/3401281

[排错] 解决 Ubuntu dpkg 数据库损坏 (apt 更新到一半时意外中断)

解决方法:

步骤一:重新配置 dpkg 数据库

# sudo dpkg --configure -a

步骤二:修复 apt 的中断

# sudo apt install --fix-broken

步骤三:删除报错的软件包

# sudo apt remove --purge postfix

(补充:这里以删除报错的 postfix 软件包为例)

步骤四:删除不用的软件包

4.1 清理 apt 缓存

# sudo apt clean

4.2 删除不用的软件包

# sudo apt autoremove

步骤五:更新所有软件包

5.1 下载所有需要更新的软件包

# sudo apt update

5.2 升级所有软件包

# sudo apt upgrade

步骤六:重新安装前面报错并删除的软件包

# sudo apt-get install postfix

(补充:这里以重新安装前面报错并删除的 postfix 软件包为例)