[步骤] 文件或目录的监控 (audit 版)

步骤一:使用 audit 监控文件或目录

1.1 在 audit 的策略里添加要监控的目录或文件

1.1.1 案例一:监控某个目录以及目录下的目录和文件
# vim /etc/audit/rules.d/audit.rules

添加以下内容:

......
-a exit,always -F dir=/tmp -F perm=rwxa

(补充:这里以监控目录 /tmp 里的目录和文件为例)

1.1.2 案例二:监控某个文件
# vim /etc/audit/rules.d/audit.rules

添加以下内容:

......
-a exit,always -S unlink -S unlinkat -S rmdir -S rename -S renameat -F path=/dev/null

(补充:这里以监控目录 /dev/null 文件为例)

1.2 让监控目录或文件的配置生效

# service auditd restart

步骤二:显示 audit 监控记录

# cat /var/log/audit


补充:记录里的
1) nametype=CREATE 字段代表创建
2) nametype=NORMAL 字段代表普通
3) nametype=DELETE 字段代表删除

或者:

# sudo ausearch -i -k user-modify

(补充:这里以显示文件被修改的记录为例)

[命令] Linux tr 命令 (内容替换)

内容一:tr 命令的简介

1.1 tr 命令的格式

# tr <option> <section 1> <sectiong 2>

1.2 tr 命令的原理

将 <section 1> 里的内容替换成 <section 2> 里的内容

内容二:tr 命令的选项

1) -c 或者 –complement 改变除了某内容外的所有内容
2) -d 或者 –delete 删除某内容
3) -s 或者 –squeeze-repeats 将相临重复的某个字符缩减成 1 个
4) -t 或者 –truncate-set1 将 <section 1> 里的内容缩减成和 <section 2> 里的内容一样长

内容三:tr 命令的参数

1) \ 反斜杠
2) \b 退格
3) \f 换页
4) \n 换行
5) \r 回车
6) \t 水平制表符
7) \v 垂直制表符
8) <character 1>-<character 2> 从某个字符到另 1 个字符,例如:a-z、a-Z、0-9
9) [<character>*] 在 <section 2> 中可用,<character> 会复制得和 <section 1> 中一样长
10) [<character>*<frequency>] 将 <character> 复制 <frequency> 次,若以 0 开头,则视为八进制
11 [:alnum:] 所有字母和数字
12 [:alpha:] 所有字母
13 [:blank:] 所有呈水平排列的空白字符
14 [:cntrl:] 所有控制字符
15 [:digit:] 所有数字
16 [:graph:] 所有可打印字符,但不包括空格
17 [:lower:] 所有小写字母
18 [:print:] 所有可打印字符,包括空格
19 [:punct:] 所有标点字符
20 [:space:] 所有呈水平或垂直排列的空白字符
21 [:upper:] 所有大写字母
22 [:xdigit:] 所有十六进制数
23 [=字符=] 所有和指定字符相等的字符

内容三:tr 命令的案例

3.1 案例一:替换某内容外的所有内容

# echo 'zmyb' | tr -c zmy a
zmyaa

(补充:这里以将内容 zmyb 中 zmy 以外的内容替换成内容 a 为例)

(注意:zmyb 后面还有一个结尾符号,所以结果会多 1 个内容 a)

3.2 案例二:删除某内容

# echo 'zmy' | tr -d m
zy

(补充:这里以删除内容 zmy 中的内容 m 为例)

3.3 案例三:将相临重复的某个字符缩减成 1 个

# echo zmmy | tr -s m
zmy

(补充:这里以将内容 zmmy 中多个字符 m 压缩成 1 个为例)

3.4 案例四:替换字符,并将要匹配的内容缩减成和要替换的内容一样长

如果是正常情况:

zhumingyu@laptop:~/Test> echo abeabe | tr ab c
ccecce

(补充:这里以将内容 abeabe 中的内容 ab 替换成内容 c 为例)

如果是缩减的情况

zhumingyu@laptop:~/Test> echo abeabe | tr -t ab c
cbecbe

(补充:这里以将内容 abeabe 中的内容 a 替换成内容 c 为例)

(注意:这里 tr -t ab c 中内容 c 是 1 个字符,所以内容 ab 会被压缩成 1 个字符 a)

[命令] Linux 命令 xz (打包、解包、压缩和解压文件)

内容一:压缩并创建 (压缩) 包 (文件)

1.1 压缩并创建 (压缩) 包 (文件) (不保留原文件)

1.1.1 压缩并创建 (压缩) 包 (某 1 个文件) (不保留原文件)
# xz -z <file>

(补充:压缩后的文件会以 xz 后缀结尾)

1.1.2 压缩并创建 (压缩) 包 (某几个文件) (不保留原文件)
# xz -z <file 1> <file 2> <file 3> ......

(补充:压缩后的文件会各自以 xz 后缀结尾)

1.2 压缩并创建 (压缩) 包 (文件) (保留原文件)

1.2.1 压缩并创建 (压缩) 包 (某 1 个文件) (保留原文件)
# xz -zk <file>

(补充:压缩后的文件会以 xz 后缀结尾)

1.2.2 压缩并创建 (压缩) 包 (某几个文件) (保留原文件)
# xz -zk <file 1> <file 2> <file 3> ......

(补充:压缩后的文件会各自以 xz 后缀结尾)

内容二:解压 (压缩) 包

2.1 解压 (压缩) 包 (不保留原文件)

2.1.1 解压 (压缩) 包 (某 1 个 (压缩) 包) (不保留原 (压缩) 包)
# xz -d <(compressed) package>

(注意:可以用 xz 命令解压的压缩包会以 xz 后缀结尾)

2.1.2 解压 (压缩) 包 (某几个 (压缩) 包) (不保留原 (压缩) 包)
# xz -d <(compressed) package 1> <(compressed) package 2> <(compressed) package 3> ......

(补充:解压后的文件会各自去掉 xz 后缀)

(注意:可以用 xz 命令解压的压缩包会以 xz 后缀结尾)

2.2 解压 (压缩) 包 (保留原文件)

2.2.1 解压 (压缩) 包 (某 1 个 (压缩) 包) (保留原文件)
# xz -dk <(compressed) package>

(注意:可以用 xz 命令解压的压缩包会以 xz 后缀结尾)

2.2.2 解压 (压缩) 包 (某几个 (压缩) 包) (保留原文件)
# xz -dk <(compressed) package 1> <(compressed) package 2> <(compressed) package 3> ......

(补充:解压后的文件会各自去掉 xz 后缀)

(注意:可以用 xz 命令解压的压缩包会以 xz 后缀结尾)

[内容] Linux 目录的重新挂载

内容一:查看已挂载目录的状况

1.1 查看所有已挂载目录的状态

# mount

1.2 查看某个目录的挂载状态

# mount | grep /tmp

(补充:这里以查看 /tmp 目录的挂载状态为例)

内容二:重新挂载目录

1.1 手动重新挂载目录

# mount -o remount,nosuid,nodev,noexec /dev/shm


补充:
1) 这里以带 nosuid、nodev 和 noexec 参数重新挂载 /dev/shm 目录为例
2) 如果挂载的目录已经有了 nosuid、nodev 和 noexec 参数,但是想要取消这些参数,则在这里可以使用 suid、dev 和 exec 参数

1.2 开机自动重新挂载目录

# vim /etc/fstab

添加以下内容:

......
tmpfs /dev/shm tmpfs defaults,nosuid,nodev,noexec 0 0


补充:
1) 这里以带 nosuid、nodev 和 noexec 参数重新挂载 /dev/shm 目录为例
2) 如果挂载的目录已经有了 nosuid、nodev 和 noexec 参数,但是想要取消这些参数,则在这里可以使用 suid、dev 和 exec 参数