înregistrare Logare
Puncte:0
avatar Server

Cum pot monitoriza ștergerea /dev/null

drapel mx
Vchanger

De obicei, folosesc inotfiy_add_watch pentru a monitoriza ștergerea fișierelor, funcționează pentru fișierele obișnuite sau chiar pentru majoritatea fișierelor dispozitivului (/dev/zero, etc...), dar nu reușește pentru /dev/null. Se pare că orice operațiune la acesta nu va declanșa evenimente de notificare. De ce?¼ Există vreo altă modalitate de a monitoriza rm /dev/null? mersi!

43
0 + 0
djdomi avatar
drapel za
djdomi
de ce ai face-o? Adică după root/sudo poate face asta
0
Răspunde
drapel mx
Vchanger
deoarece lucrez pe un server partajat pe care rulează multe module sau programe cu permisiunea root și recent /dev/null a fost șters de câteva ori. Încerc să aflu cine a făcut asta.
0
Răspunde
drapel us
Tero Kilkanen
Ar trebui să urmați principiul rulării programelor cu cele mai puține privilegii necesare. Configurația dvs. actuală pare mult prea fragilă.
2
Răspunde
djdomi avatar
drapel za
djdomi
nu sunt sigur dacă `chattr +i /dev/null` ar putea funcționa, dar ar trebui să vă amintiți că poate fi o situație periculoasă
0
Răspunde
djdomi avatar
drapel za
djdomi
Practic, această întrebare are deja câteva soluții, cum ar fi întrebări [266717] sau [899956]
0
Răspunde
Puncte:1
John Mahowald avatar Server
drapel cn
John Mahowald

Pe Linux, inotify este limitat prin faptul că este specific sistemului de fișiere. Documentație spune că „diverse pseudo-sisteme de fișiere, cum ar fi /proc, /sys și /dev/pts, nu pot fi monitorizate cu inotify”

sistem de audit Linux este capabil să înregistreze apeluri de sistem arbitrare. Un exemplu de ceas de monitorizare a fișierelor pe care l-ați putea pune /etc/audit/rules.d/specialdev.rules ar putea fi:

-a mereu,ieșire -F arch=b64 -S deconectare,deconectare,redenumire,redenumire -F succes=1 -F cale=/dev/null -k specialdev
-a mereu,ieșire -F arch=b32 -S deconectare,deconectare,redenumire,redenumire -F succes=1 -F cale=/dev/null -k specialdev

Rețineți că filtrarea la anumite apeluri de sistem care șterg de fapt fișierul, nu doar scrie în el. Interogați intrările recente cu ceva de genul:

ausearch --start yesterday --end now --key specialdev

Puteți spune din aceste intrări de jurnal când s-a întâmplat, ID-ul procesului și comunicația, diverse arome de uid și contextul selinux. Indicii bune, dar mai trebuie să cauți puțin scriptul shell rupt sau orice altceva.

0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.