Tham gia Đăng nhập
Điểm:0
avatar Server

Làm cách nào tôi có thể theo dõi việc xóa/dev/null

lá cờ mx
Vchanger

Thông thường, tôi sử dụng inotfiy_add_watch để theo dõi việc xóa tệp, nó hoạt động với các tệp thông thường hoặc thậm chí hầu hết các tệp thiết bị (/ dev/zero, v.v.), nhưng không thành công đối với/dev/null. Có vẻ như mọi hoạt động đối với nó sẽ không kích hoạt các sự kiện inotify. Tại saoï¼ Có cách nào khác để theo dõi rm/dev/null không? cám ơn!

43
0 + 0
djdomi avatar
lá cờ za
djdomi
tại sao bạn sẽ làm điều đó? ý tôi là sau khi root/sudo có thể làm điều đó
0
Hồi đáp
lá cờ mx
Vchanger
vì tôi đang làm việc trên một máy chủ dùng chung có nhiều mô-đun hoặc chương trình có quyền root đang chạy và gần đây /dev/null đã bị xóa một vài lần. Tôi đang cố tìm ra ai đã làm việc này.
0
Hồi đáp
lá cờ us
Tero Kilkanen
Bạn nên tuân theo nguyên tắc chạy chương trình với ít đặc quyền được yêu cầu nhất. Thiết lập hiện tại của bạn có vẻ quá mong manh.
2
Hồi đáp
djdomi avatar
lá cờ za
djdomi
tôi không chắc liệu `chattr +i /dev/null` có hoạt động hay không nhưng bạn nên nhớ rằng đó có thể là một tình huống nguy hiểm
0
Hồi đáp
djdomi avatar
lá cờ za
djdomi
Về cơ bản câu này đã có sẵn một số đáp án như câu [266717] hoặc [899956]
0
Hồi đáp
Điểm:1
John Mahowald avatar Server
lá cờ cn
John Mahowald

Trên Linux, inotify bị hạn chế ở chỗ nó dành riêng cho hệ thống tệp. Tài liệu nói rằng "nhiều hệ thống tệp giả khác nhau như/proc,/sys và/dev/pts không thể giám sát được bằng inotify"

Hệ thống kiểm toán Linux có khả năng ghi nhật ký các cuộc gọi hệ thống tùy ý. Một đồng hồ giám sát tập tin ví dụ bạn có thể đưa vào /etc/audit/rules.d/specialdev.rules có thể là:

-a luôn, thoát -F arch=b64 -S hủy liên kết, hủy liên kết, đổi tên, đổi tên -F thành công=1 -F đường dẫn=/dev/null -k specialdev
-a luôn, thoát -F arch=b32 -S hủy liên kết, hủy liên kết, đổi tên, đổi tên -F thành công=1 -F đường dẫn=/dev/null -k specialdev

Lưu ý rằng việc lọc các cuộc gọi hệ thống cụ thể thực sự xóa tệp chứ không chỉ ghi vào tệp. Truy vấn các mục gần đây với một cái gì đó như:

ausearch --bắt đầu từ hôm qua --kết thúc ngay bây giờ --key specialdev

Bạn có thể biết từ các mục nhật ký này khi nó xảy ra, ID tiến trình và comm, các hương vị khác nhau của uid và bối cảnh selinux. Manh mối tốt, nhưng bạn vẫn phải tìm kiếm tập lệnh shell bị hỏng hoặc bất cứ thứ gì.

0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.