放入 /dev/shm 的目录都是放入到内存中
当 /dev/shm 为空时其不会占用内存的空间
/dev/shm 的最大空间为内存的一半
系统重启后 /dev/shm 里的内容会被清空
[步骤] Linux 文件的监控 (audit 版)
正文:
步骤一:添加监控命令的 audit 规则
1.1 添加监控命令的 audit 规则的格式
配置文件格式:
-w <file> -p wa -k <search_key>命令格式:
# auditctl -w <file> -p wa -k <search_key>(
补充:
1) 这里的 <file> 是要监控的文件
2) 这里的 <search_key> 是个标识,用于简化在 audit 日志里搜索此命令
)
1.2 添加监控命令的 audit 规则的案例
配置文件的案例:
-w /etc/group -p wa -k group_file命令案例:
# auditctl -w /etc/group -p wa -k group_file(
补充:这里以
1) 监控 /etc/group 文件
2) 标识是 group_file 为例
)
步骤二:让刚刚在配置文件里添加的规则生效
2.1 合并新添加的 audit 规则
# augenrules2.2 重启 auditd 服务
# service auditd restart步骤三:查看新添加的规则
# auditctl -l步骤四:查看某个表示的 audit 日志
# ausearch -k group_file(补充:这里以查看标识为 group_file 的 audit 日志为例)
参考文献:
https://access.redhat.com/solutions/3401281
[步骤] Linux 命令的监控 (audit 版)
正文:
步骤一:添加监控命令的 audit 规则
1.1 添加监控命令的 audit 规则的格式
配置文件格式:
-w <command> -p x -k <search_key>命令格式:
# auditcl -w <command> -p x -k <search_key>(
补充:
1) 这里的 <command> 是要监控的命令
2) 这里的 <search_key> 是个标识,用于简化在 audit 日志里搜索此命令
)
1.2 添加监控命令的 audit 规则的案例
配置文件的案例:
-w /usr/bin/rm -p x -k rm_command命令案例:
# auditcl -w /usr/bin/rm -p x -k rm_command(
补充:这里以
1) 监控 /usr/bin/rm 命令
2) 标识是 rm_command 为例
)
步骤二:让刚刚添加的规则生效
2.1 合并新添加的 audit 规则
# augenrules2.2 重启 auditd 服务
# service auditd restart步骤三:查看新添加的规则
# auditctl -l步骤四:查看某个表示的 audit 日志
# ausearch -k rm_command(补充:这里以查看标识为 rm_command 的 audit 日志为例)
参考文献:
https://access.redhat.com/solutions/3401281
[步骤] Linux audit 日志的查看 (判断哪个文件是被哪个用户修改过)
步骤一:查看在 audit 日志中文件被修改的日志编号
# cat /var/log/audit/audit.log | grep test.txt
......
type=PATH msg=audit(1532475291.426:18858423)......
......(
补充:
1) 这里以查看在 audit 日志中文件 test.txt 被修改的记录为例
2) 从这里的输出结果可以看到此次的修改记录中日志的编号是 18858423
)
步骤二:在 audit 日志中查看和此日志编号相同的的日志里记录的 PPID
# cat /var/log/audit/audit.log | grep ppid | grep 18858423
......
...... ppid=6027281 ......
......(
补充:
1) 这里以查看在 audit 日志中和日志编号 18858423 相同的的日志里记录的 PPID 为例
2) 这里的日志编号 18858423 是在步骤一中查到的
3) 从这里的输出结果可以看到和此日志编号相同的日志里记录的 PPID 是 6027281
)
步骤三:在系统日志中查看哪个用户登录系统时生成的是此 PPID
# cat /var/log/messages | grep terminal=ssh | grep 6027281(
补充:
1) 这里以查看在系统日志中哪个用户登录系统时生成的是 PPID 6027281 为例
2) 这里的 PPID 6027281 是在步骤二中查到的
)
[排错] Linux 解决使用 setfacl 命令时报错 “setfacl: …… : Operation not supported”
报错命令
# setfacl ......报错代码
setfacl: ......: Operation not supported解决方法
添加 acl 参数
临时解决方法(临时在挂载时添加 acl 参数):
# mount -o remount,acl /mnt(补充:这里以给挂载的 /mnt 目录添加 acl 参数为例)
永久解决方法(永久在挂载时添加 acl 参数):
# vi /etc/fstab将部分内容修改如下:
......
/dev/sda5 /mnt xfs defaults,acl 0 0
......(补充:这里以给从硬盘 /dev/sda5 挂载到 /mnt 目录的目录添加 acl 参数为例)