# zip -r eternalcenter.com.zip eternalcenter.directory(Add: Take compressing the eternalcenter.directory directory as an example here)
# zip eternalcenter.com.zip eternalcenter.file(Add: Take compressing the eternalcenter.file file as an example here)
# service auditd restart# auditctl -s# chkconfig auditd on# chkconfig --list auditd# auditctl -l# vi /etc/audit/audit.rules删除里面的所有内容
# service auditd restart或者:
# augenrules# auditctl -D(补充:此操作重启后失效)
# auditctl -W <policy>(补充:此操作重启后失效)
# auditctl -d <policy>(补充:此操作重启后失效)
# cat /var/log/audit/audit.log# ausearch -f <file/directory># ausearch -k <key_name># aureport -k-w <file/directory> -p <previlege> -k <key_name>(
补充:
1) 文件名或目录名,需要绝对路径
2) 监控的权限,可以是 rwxa 其中的任意 1 个或多个,r 代表读权限、w 代表写权限,x 代表执行权限,a 代表文件类型
3) 此类日志的关键词
)
# auditctl -w <file/directory> -p <previlege> -k <key_name># vim /etc/audit/audit.rules添加以下内容:
......
-w <file/directory> -p <previlege> -k <key_name>(
注意:永久添加的规则后要重启 auditd 服务后才会生效
# service auditd restart或者:
# augenrules)
# auditctl -w /etc/nginx/nginx.conf(补充:这里以临时添加监控 /etc/nginx/nginx.conf 文件的读、写、执行和文件属性变化的规则为例)
# auditctl -w /etc/nginx/nginx.conf -p rwxa -k 'nginx'(补充:这里以临时添加监控 /etc/nginx/nginx.conf 文件的读、写、执行和文件属性变化,并设置关键词为 nginx 的规则为例)
-a <action>,<filter> -S <system_call> -F <field>=<value> -k <key_name>(
补充:
1) 和 用于确定事件被记录, 的值可以是 always 或者 never, 的值可以是 task、exit、user 或者 exclude
2) 是系统调用,Linux 系统调用的名称在 /usr/include/asm/unistd_64.h 文件中,可以将多个系统调用放在一个规则里,例:-S <system_call> -S <system_call> ……,或者 -S <system_call>,<system_call>……
3) 和 是过略条件,可以将多个过略条件放在一个规则里,-F <field>=<value> -F <field>=<value> ……
4) 是此类日志的关键词
)
# auditctl -a <action>,<filter> -S <system_call> -F <field>=<value> -k <key_name># vim /etc/audit/audit.rules添加以下内容:
......
-a <action>,<filter> -S <system_call> -F <field>=<value> -k <key_name>(
注意:永久添加的规则后要重启 auditd 服务后才会生效
# service auditd restart或者:
# augenrules)
# auditctl -a always,exit -S rmdir -S unlink -S unlinkat -S rename -S renameat -F auid>=1000 -F auid!=unset -F auid!=4294967295 -k delete(补充:这里以临时监控所有 UID 大于 1000 的用户删除操作为例)
(注意:这里的 -F auid!=4294967295 是为了排除 login UID 没有被设置的用户)
# auditctl -a always,exit -S unlink -S unlinkat -S rename -S renameat -F auid>=1000 -F auid!=unset -F auid!=4294967295 -k delete(补充:这里以临时监控所有 UID 大于 1000 的用户删除操作为例)
(注意:这里的 -F auid!=4294967295 是为了排除 login UID 没有被设置的用户)
# auditctl -a always,exit -F arch=b64 -S socket
# auditctl -a always,exit -F arch=b64 -S connect
# auditctl -a always,exit -F arch=b64 -S sendmmsg
# auditctl -a always,exit -F arch=b64 -S sendmsg
# auditctl -a always,exit -F arch=b64 -S bind
# auditctl -a always,exit -F arch=b64 -S recvmsg
# auditctl -a always,exit -F arch=b64 -S close(补充:这里以监控所有网络连接为例)
空设备,任何进入此文件的数据都会被删除,一般用于删除输出内容
# rm -f /dev/null;mknod /dev/null c 1 3;chmod 666 /dev/null二进制的零流,可以连续不断地产生二进制零流,一般用于对设备和文件进行初始化
# rm -f /dev/null;mknod /dev/zero c 1 5;chmod 666 /dev/null随机数流,可以连续不断地产生随机数流,一般用于清除机密数据,用随机的数据完全覆盖磁盘
# rm -f /dev/null;mknod /dev/random c 1 8;chmod 666 /dev/null# dnf install mlocate# updatedb(
注意:如果不更新 locate 数据库,在使用 locate 命令后可能会报错
locate: can not stat () `/var/lib/mlocate/mlocate.db': No such file or directory)
1) -b 或者 –basename 只显示使用指定模式匹配名称的条目
2) -c 或者 –count 只显示找的数量
3) -e 或者 –existing 只显示存在的条目
4) -i 或者 –ignore-case 查找时忽略大小写
5) -r 或者 –regexp 使用正则表达式
6) –regex 使用扩展正则表达式
# locate passwd# locate /etc/sh# locate -i ~/r# locate -r [1-2].txt/etc/profile~/.bash_profile或者:
~/.bash_login或者:
~/.profile在用户登录时设置用户的环境变量,只在用户登录时才会生效
第一步,执行:
/etc/profile第二步,按以下顺序一一尝试执行以下 3 个文件中的 1 个,当执行成功后则停止尝试下 1 个文件:
~/.bash_profile
~/.bash_login
~/.profile第三步:开始调用解释器
(如果是调用 bash 解释器,则继续执行登录 bash 时执行 bashrc 文件的顺序)
/etc/bashrc或者:
/etc/bash.bashrc~/.bashrc在用户使用 bash 解释器或登录 bash 解释器时设置用户的环境变量,每次调用 bash 解释器时都会生效
第一步,执行以下 2 个文件中的 1 个:
/etc/bashrc
/etc/bash.bashrc第二步,执行:
~/.bashrc