Puncte:0

Cum pot monitoriza ștergerea /dev/null

drapel mx

De obicei, folosesc inotfiy_add_watch pentru a monitoriza ștergerea fișierelor, funcționează pentru fișierele obișnuite sau chiar pentru majoritatea fișierelor dispozitivului (/dev/zero, etc...), dar nu reușește pentru /dev/null. Se pare că orice operațiune la acesta nu va declanșa evenimente de notificare. De ce?¼ Există vreo altă modalitate de a monitoriza rm /dev/null? mersi!

djdomi avatar
drapel za
de ce ai face-o? Adică după root/sudo poate face asta
drapel mx
deoarece lucrez pe un server partajat pe care rulează multe module sau programe cu permisiunea root și recent /dev/null a fost șters de câteva ori. Încerc să aflu cine a făcut asta.
drapel us
Ar trebui să urmați principiul rulării programelor cu cele mai puține privilegii necesare. Configurația dvs. actuală pare mult prea fragilă.
djdomi avatar
drapel za
nu sunt sigur dacă `chattr +i /dev/null` ar putea funcționa, dar ar trebui să vă amintiți că poate fi o situație periculoasă
djdomi avatar
drapel za
Practic, această întrebare are deja câteva soluții, cum ar fi întrebări [266717] sau [899956]
Puncte:1
drapel cn

Pe Linux, inotify este limitat prin faptul că este specific sistemului de fișiere. Documentație spune că „diverse pseudo-sisteme de fișiere, cum ar fi /proc, /sys și /dev/pts, nu pot fi monitorizate cu inotify”

sistem de audit Linux este capabil să înregistreze apeluri de sistem arbitrare. Un exemplu de ceas de monitorizare a fișierelor pe care l-ați putea pune /etc/audit/rules.d/specialdev.rules ar putea fi:

-a mereu,ieșire -F arch=b64 -S deconectare,deconectare,redenumire,redenumire -F succes=1 -F cale=/dev/null -k specialdev
-a mereu,ieșire -F arch=b32 -S deconectare,deconectare,redenumire,redenumire -F succes=1 -F cale=/dev/null -k specialdev

Rețineți că filtrarea la anumite apeluri de sistem care șterg de fapt fișierul, nu doar scrie în el. Interogați intrările recente cu ceva de genul:

ausearch --start yesterday --end now --key specialdev

Puteți spune din aceste intrări de jurnal când s-a întâmplat, ID-ul procesului și comunicația, diverse arome de uid și contextul selinux. Indicii bune, dar mai trebuie să cauți puțin scriptul shell rupt sau orice altceva.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.