System Setting Other Steps (系统设置其它步骤)

September 4, 2025September 4, 2025

[步骤] Linux 文件的监控（audit 版）

正文：

步骤一：添加监控命令的 audit 规则

1.1 添加监控命令的 audit 规则的格式

配置文件格式：

-w <file> -p wa -k <search_key>

命令格式：

# auditctl -w <file> -p wa -k <search_key>

（
补充：
1) 这里的 <file> 是要监控的文件
2) 这里的 <search_key> 是个标识，用于简化在 audit 日志里搜索此命令
）

1.2 添加监控命令的 audit 规则的案例

配置文件的案例：

-w /etc/group -p wa -k group_file

命令案例：

# auditctl -w /etc/group -p wa -k group_file

（
补充：这里以
1) 监控 /etc/group 文件
2) 标识是 group_file 为例
）

步骤二：让刚刚在配置文件里添加的规则生效

2.1 合并新添加的 audit 规则

# augenrules

2.2 重启 auditd 服务

# service auditd restart

步骤三：查看新添加的规则

# auditctl -l

步骤四：查看某个表示的 audit 日志

# ausearch -k group_file

（补充：这里以查看标识为 group_file 的 audit 日志为例）

参考文献：

https://access.redhat.com/solutions/3401281

July 21, 2025

[步骤] Linux 重启后网卡上没有 IP 地址的处理方法

步骤一：在硬件管理页面检查物理网卡是否联通

记录需要使用的网络端口的网卡机器码（MAC）地址

（步骤略）

（
注意：
1) 只有物理机才需要完成这步
2) 当物理机 1 个网络模块上有 2 个网络端口时，要特别注意 2 个网络端口各自的网卡机器码（MAC）地址，例如：戴尔服务器网络端口的网卡机器码（MAC）地址在页面的最下方
）

步骤二：在系统中查看对应的网卡是否联通

2.1 使用 IP 命令查看对应的网卡是否联通

# ip a s

或者：

# ip address show

（补充：当出现 ”UP“ 字样时代表网卡已经启动）

（注意：nmcli device show 命令不能确认此时网卡是否联通）

2.2 使用 ethtool 命令查看对应的网卡是否联通

# ethtool eth0

（注意：nmcli device show 命令不能确认此时网卡是否联通）

步骤三：尝试配置临时 IP 地址和临时网关（只有当确认网卡是联通的时候才进行以下操作）

3.1 尝试配置临时 IP 地址

# ifconfig eth0 192.168.0.2/24

或者：

# ip a add 192.168.0.2/24 dev eth0

（补充：这里以给 eth0 网卡添加临时 IP 地址 192.168.0.2/24 为例）

（注意：只有当确认网卡是联通的时候才进行此操作）

3.2 尝试配置临时网关

# route add default gw 192.168.0.1

或者：

# ip route add default via 192.168.0.1

（注意：只有当确认网卡是联通的时候才进行此操作）

3.3 查看配置的临时 IP 地址和临时网关

3.3.1 查看配置的临时 IP 地址

# ip a s

3.3.2 查看配置的临时网关

# route -n

April 21, 2025September 4, 2025

[步骤] Linux 命令的监控（audit 版）

正文：

步骤一：添加监控命令的 audit 规则

1.1 添加监控命令的 audit 规则的格式

配置文件格式：

-w <command> -p x -k <search_key>

命令格式：

# auditcl -w <command> -p x -k <search_key>

（
补充：
1) 这里的 <command> 是要监控的命令
2) 这里的 <search_key> 是个标识，用于简化在 audit 日志里搜索此命令
）

1.2 添加监控命令的 audit 规则的案例

配置文件的案例：

-w /usr/bin/rm -p x -k rm_command

命令案例：

# auditcl -w /usr/bin/rm -p x -k rm_command

（
补充：这里以
1) 监控 /usr/bin/rm 命令
2) 标识是 rm_command 为例
）

步骤二：让刚刚添加的规则生效

2.1 合并新添加的 audit 规则

# augenrules

2.2 重启 auditd 服务

# service auditd restart

步骤三：查看新添加的规则

# auditctl -l

步骤四：查看某个表示的 audit 日志

# ausearch -k rm_command

（补充：这里以查看标识为 rm_command 的 audit 日志为例）

参考文献：

https://access.redhat.com/solutions/3401281

February 11, 2025February 11, 2025

[步骤] Linux su 命令使用的限制（只让某些用户使用 su 命令）（RockyLinux & RHEL 版）

步骤一：创建可以使用 su 命令的组

# gourpadd whocansu

（补充：这里以创建组 whocansu 为例）

步骤二：将需要使用 su 命令的用户添加到可以使用 su 命令的组里

# usermod -a -G whocansu zhumingyu

或者：

# usermod -aG whocansu zhumingyu

（补充：这里以将用户 zhumingyu 添加到 whocansu 组为例）

步骤三：设置着只让某个组队用户可以使用 su 命令

# vim /etc/pam.d/su

在此行下面：

......
# Uncomment the following line to require a user to be in the "wheel" group.
......

将以下内容

......
# auth required pam_wheel.so use_uid
......

修改为：

......
auth required pam_wheel.so use_uid group=whocansu
......

（补充：这里以只允许组 whocansu 可以使用 su 命令为例）

（
注意：
1) 此时如果用户有 sudo su 权限的话，那么依旧可以通过 sudo su 命令切换到 root
2) RockyLinux & RHEL 的 /etc/pam.d/su 文件里的每行都有严格的顺序，如果顺序错误，则所有用户都将不能再使用 su 命令，包括 sudo su 命令
）

January 20, 2025February 11, 2025

[步骤] Linux su 命令使用的限制（只让某些用户使用 su 命令）（openSUSE & SLES 版）

步骤一：创建可以使用 su 命令的组

# gourpadd whocansu

（补充：这里以创建组 whocansu 为例）

步骤二：将需要使用 su 命令的用户添加到可以使用 su 命令的组里

# usermod -a -G whocansu zhumingyu

或者：

# usermod -aG whocansu zhumingyu

（补充：这里以将用户 zhumingyu 添加到 whocansu 组为例）

步骤三：设置着只让某个组队用户可以使用 su 命令

# vim /etc/pam.d/su

添加以下内容：

#%PAM-1.0
auth required pam_wheel.so use_uid group=whocansu
......

（补充：这里以只允许组 whocansu 可以使用 su 命令为例）

（注意：此时如果用户有 sudo su 权限的话，那么依旧可以通过 sudo su 命令切换到 root）

正文：

步骤一：添加监控命令的 audit 规则

1.1 添加监控命令的 audit 规则的格式

1.2 添加监控命令的 audit 规则的案例

步骤二：让刚刚在配置文件里添加的规则生效

2.1 合并新添加的 audit 规则

2.2 重启 auditd 服务

步骤三：查看新添加的规则

步骤四：查看某个表示的 audit 日志

参考文献：

步骤一：在硬件管理页面检查物理网卡是否联通

步骤二：在系统中查看对应的网卡是否联通

2.1 使用 IP 命令查看对应的网卡是否联通

2.2 使用 ethtool 命令查看对应的网卡是否联通

步骤三：尝试配置临时 IP 地址和临时网关 （只有当确认网卡是联通的时候才进行以下操作）

3.1 尝试配置临时 IP 地址

3.2 尝试配置临时网关

3.3 查看配置的临时 IP 地址和临时网关

3.3.1 查看配置的临时 IP 地址

3.3.2 查看配置的临时网关

正文：

步骤一：添加监控命令的 audit 规则

1.1 添加监控命令的 audit 规则的格式

1.2 添加监控命令的 audit 规则的案例

步骤二：让刚刚添加的规则生效

2.1 合并新添加的 audit 规则

2.2 重启 auditd 服务

步骤三：查看新添加的规则

步骤四：查看某个表示的 audit 日志

参考文献：

步骤一：创建可以使用 su 命令的组

步骤二：将需要使用 su 命令的用户添加到可以使用 su 命令的组里

步骤三：设置着只让某个组队用户可以使用 su 命令

步骤一：创建可以使用 su 命令的组

步骤二：将需要使用 su 命令的用户添加到可以使用 su 命令的组里

步骤三：设置着只让某个组队用户可以使用 su 命令

步骤三：尝试配置临时 IP 地址和临时网关（只有当确认网卡是联通的时候才进行以下操作）