Linux 文件监控之谁动了我的奶酪

有时候配置文件会被莫名其妙的修改,但是找不到修改他的进程,从而无法抓住罪魁祸首,这时候就诞生了摄像头。呃呃,应该是audit

比如我要监控一个文件test.txt

[root@hsun /]# auditctl -w /audit/
[root@hsun /]# auditctl -l
(null): exit,always dir=/audit perm=rwxa

查询确认有规则添加。

然后再audit目录创建test.txt,向文件写内容。

[root@hsun audit]# ausearch -f  test.txt 
----
time->Fri Jul 26 19:05:08 2019
type=UNKNOWN[1327] msg=audit(1564139108.755:28268): proctitle=746F75636800746573742E747874
type=PATH msg=audit(1564139108.755:28268): item=1 name="test.txt" inode=10732836 dev=fd:00 mode=0100644 ouid=0 ogid=0 rdev=00:00 objtype=CREATE
type=PATH msg=audit(1564139108.755:28268): item=0 name="/audit" inode=10732835 dev=fd:00 mode=040755 ouid=0 ogid=0 rdev=00:00 objtype=PARENT
type=CWD msg=audit(1564139108.755:28268):  cwd="/audit"
type=SYSCALL msg=audit(1564139108.755:28268): arch=c000003e syscall=2 success=yes exit=3 a0=7fffec3dd1ba a1=941 a2=1b6 a3=7fffec3dad40 items=2 ppid=2797 pid=119962 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=14 comm="touch" exe="/usr/bin/touch" key=(null)

...
...
...
time->Fri Jul 26 19:05:20 2019 type=UNKNOWN[1327] msg=audit(1564139120.915:28325): proctitle="-bash" type=PATH msg=audit(1564139120.915:28325): item=1 name="test.txt" inode=10732838 dev=fd:00 mode=0100644 ouid=0 ogid=0 rdev=00:00 objtype=NORMAL type=PATH msg=audit(1564139120.915:28325): item=0 name="/audit" inode=10732835 dev=fd:00 mode=040755 ouid=0 ogid=0 rdev=00:00 objtype=PARENT type=CWD msg=audit(1564139120.915:28325): cwd="/audit" type=SYSCALL msg=audit(1564139120.915:28325): arch=c000003e syscall=2 success=yes exit=3 a0=24cab90 a1=441 a2=1b6 a3=0 items=2 ppid=2795 pid=2797 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=14 comm="bash" exe="/usr/bin/bash" key=(null) [root@hsun audit]#

 

我们主要关注里面的 comm="bash" exe="/usr/bin/bash" key=(null),这两个字段,通过这两个字段我们就知道是什么命令操作了我们的文件或目录。

如果需要删除这条规格,可以使用以下命令,

[root@hsun audit]# auditctl -W /audit/
[root@hsun audit]# auditctl -l
No rules

 

也就是使用小写的w添加规则,大写的W删除规则。

然后就能查看到什么进程动了这个文件。

posted on 2019-07-26 19:10 状元兜里有糖 阅读(...) 评论(...) 编辑 收藏

导航

统计