GNU/Linux >> Belajar Linux >  >> Cent OS

File Diklaim Hilang – Cara memantau file untuk dihapus di Linux

Pertanyaan :Sebuah file tampaknya menghilang dan tidak ada alasan langsung hilangnya file tersebut yang dapat ditemukan. Bagaimana cara kita memantau akses file, terutama penghapusan file tertentu di sistem CentOS/RHEL?

Sebuah file dapat dipantau melalui siklus hidupnya dengan menggunakan Linux auditd layanan.

Langkah-Langkahnya

1. Untuk menginstalnya di CentOS atau RHEL, jalankan:

# yum install audit

2. Untuk mengaktifkan layanan saat boot, jalankan:

# chkconfig auditd on        # For CentOS/RHEL 6
# systemctl enable auditd        # For CentOS/RHEL 7

atau mulai sementara, hingga reboot berikutnya:

# service auditd start        # For CentOS/RHEL 6
# systemctl start auditd        # For CentOS/RHEL 7
Catatan :systemctl restart auditd tidak akan bekerja di RHEL7 karena kernel menangani auditd dengan cara khusus. Anda harus berhenti dan memulai layanan.

3. Untuk menonton file tertentu guna melihat apakah ada sesuatu yang menyentuh file tersebut, jalankan:

# auditctl -w [filename] -p rwxa  -k [filter key]

di mana:
-w [nama file] :menonton file tertentu.
-p war :filter izin untuk menulis, menambahkan, membaca.
-k [kunci filter] :kunci filter untuk mengidentifikasi log audit secara unik.

Contoh:

# auditctl -w /var/opt/sun/comms/messaging64/log/mail.log_yesterday -p rwxa -k mail.log_yesterday

4. Untuk membuat daftar kumpulan aturan saat ini, jalankan:

# auditctl -l

Contoh:

# auditctl -l
LIST_RULES: exit,always watch=/var/opt/sun/comms/messaging64/log/mail.log_yesterday perm=rwxa key=mail.log_yesterday

Verifikasi

Untuk mengetahui siapa yang mengubah atau mengakses file yang ditonton:

# ausearch -i -k [filter key]

Contoh:

# ausearch -i -k mail.log_yesterday
...
----
type=PATH msg=audit(12/12/2013 00:30:00.407:6209) : item=0 name=/opt/sun/comms/messaging64/data/log/mail.log_yesterday inode=425831 dev=fd:00 mode=file,600 ouid=mailsrv ogid=mail rdev=00:00 
type=CWD msg=audit(12/12/2013 00:30:00.407:6209) :  cwd=/var/opt/sun/comms/messaging64/log 
type=SYSCALL msg=audit(12/12/2013 00:30:00.407:6209) : arch=x86_64 syscall=open success=yes exit=5 a0=7fff62973b1d a1=0 a2=7fff62973870 a3=2 items=1 ppid=16442 pid=16450 auid=root uid=mailsrv gid=mail euid=mailsrv suid=mailsrv fsuid=mailsrv egid=mail sgid=mail fsgid=mail tty=(none) ses=570 comm=cat exe=/bin/cat key=mail.log_yesterday 
----
type=CONFIG_CHANGE msg=audit(12/12/2013 00:30:00.407:6210) : auid=root ses=570 op="updated rules" path=/var/opt/sun/comms/messaging64/log/mail.log_yesterday key=mail.log_yesterday list=exit res=1 
----
type=PATH msg=audit(12/12/2013 00:30:00.407:6211) : item=1 name=/opt/sun/comms/messaging64/data/log/mail.log_yesterday inode=425831 dev=fd:00 mode=file,600 ouid=mailsrv ogid=mail rdev=00:00 
type=PATH msg=audit(12/12/2013 00:30:00.407:6211) : item=0 name=/opt/sun/comms/messaging64/data/log/ inode=423325 dev=fd:00 mode=dir,700 ouid=mailsrv ogid=mail rdev=00:00 
type=CWD msg=audit(12/12/2013 00:30:00.407:6211) :  cwd=/var/opt/sun/comms/messaging64/log 
type=SYSCALL msg=audit(12/12/2013 00:30:00.407:6211) : arch=x86_64 syscall=unlink success=yes exit=0 a0=7ffff94beb1f a1=7ffff94beb1f a2=2 a3=2 items=2 ppid=16442 pid=16452 auid=root uid=mailsrv gid=mail euid=mailsrv suid=mailsrv fsuid=mailsrv egid=mail sgid=mail fsgid=mail tty=(none) ses=570 comm=rm exe=/bin/rm key=mail.log_yesterday 
----
type=CONFIG_CHANGE msg=audit(12/12/2013 00:30:00.407:6212) : auid=root ses=570 op="updated rules" path=/var/opt/sun/comms/messaging64/log/mail.log_yesterday key=mail.log_yesterday list=exit res=1 
----
type=PATH msg=audit(12/12/2013 00:30:00.407:6213) : item=3 name=/opt/sun/comms/messaging64/data/log/mail.log_yesterday inode=425765 dev=fd:00 mode=file,600 ouid=mailsrv ogid=mail rdev=00:00 
type=PATH msg=audit(12/12/2013 00:30:00.407:6213) : item=2 name=/opt/sun/comms/messaging64/data/log/mail.log_current inode=425765 dev=fd:00 mode=file,600 ouid=mailsrv ogid=mail rdev=00:00 
type=PATH msg=audit(12/12/2013 00:30:00.407:6213) : item=1 name=/opt/sun/comms/messaging64/data/log/ inode=423325 dev=fd:00 mode=dir,700 ouid=mailsrv ogid=mail rdev=00:00 
type=PATH msg=audit(12/12/2013 00:30:00.407:6213) : item=0 name=/opt/sun/comms/messaging64/data/log/ inode=423325 dev=fd:00 mode=dir,700 ouid=mailsrv ogid=mail rdev=00:00 
type=CWD msg=audit(12/12/2013 00:30:00.407:6213) :  cwd=/var/opt/sun/comms/messaging64/log 
type=SYSCALL msg=audit(12/12/2013 00:30:00.407:6213) : arch=x86_64 syscall=rename success=yes exit=0 a0=7fff81d5caea a1=7fff81d5cb1f a2=0 a3=0 items=4 ppid=16442 pid=16453 auid=root uid=mailsrv gid=mail euid=mailsrv suid=mailsrv fsuid=mailsrv egid=mail sgid=mail fsgid=mail tty=(none) ses=570 comm=mv exe=/bin/mv key=mail.log_yesterday 
...

Di sini kita melihat rotasi file mail.log yang terjadi, yang dilakukan oleh 'return_job ‘ yang terjadi secara default pada 00:30, dan dijalankan oleh pengguna “mailsrv “. Anda dapat melihat file mail.log_yesterday menjadi cat (ke dalam mail.log), dihapus, dan mail.log_current diganti namanya menjadi mail.log_yesterday.

Memahami Audit sistem dengan auditd


Cent OS

  1. Bagaimana Mengelola Kemampuan File Linux

  2. Bagaimana Mengganti Nama File di Linux?

  3. Cara Audit untuk Modifikasi file dan Eksekusi File di Linux

  1. Cara menemukan File di Linux

  2. Cara menggunakan auditd untuk memantau penghapusan file di Linux

  3. Bagaimana cara memantau pohon direktori lengkap untuk perubahan di Linux?

  1. Cara memindahkan file di Linux

  2. Cara menghapus file di Ubuntu Linux

  3. Bagaimana saya bisa memantau data pada port serial di Linux?