設計模式
http://www.jaceju.net/blog/archives/1010/
2013年8月26日 星期一
[轉貼][Linux]重建家目錄
今天遇到客戶的FTP SERVER所用的Storage掛掉,而這個Storage主要是用來掛載USER的家目錄,所以在Storage的RAID重建後,家目錄也都不見了。尋求谷哥大神後得以下解;
#建立家目錄資料夾mkdir /home/tim#將預設的檔案複製一份到家目錄 這是系統家目錄裡的預設檔案(隱藏檔)cp -a /etc/skel/. /home/tim#修改權限,只有自己能完全存取chmod 700 /home/tim#修改權限,將所有家目錄裡的檔案、目錄的user和group改成自己chown -R tim:tim /home/tim
設定完後可以su -來確認是否可行,最後再確認FTP登入或權限是否需要調整
出處:~提姆備忘錄~
2013年8月25日 星期日
[轉貼][Linux] 使用 auditctl 監控檔案的建立、存取與刪除
Linux 上面有 auditctl 可以用來記錄檔案的動作,
因此如果之後檔案有被刪掉,理論上可以從 audit log 裡面找出來原兇是誰...
auditctl 比較簡單的用法是直接用 -w 指定要監控的路徑,
例如我想要監控目錄 /test 下的所有活動:
auditctl -w /test/
用 -l 選項則可以秀出目前已經監控的路徑(其實是列出所有的規則):
auditctl -l
執行結果如下:
當你對檔案做了一些動作之後,就可以用 ausearch 來觀察 audit log:
ausearch -f /test
執行結果如下~
就可以看出來 /bin/bash 有處理過 test1.txt,
而 vi 的動作就比較複雜,會產生一些暫存檔如 .test2.txt.swp, .test2.txt.swx 等等~
如果想要比較人性化的輸出的話,可以加上 -i 的選項,如 ausearch -i -f /test
當監測完畢時,用 auditctl -D 就可以刪除掉所有的規則囉~
附註:這些 audit 檔案預設是存在 /var/log/audit 目錄下面:
如果需要修改一些設定像是紀錄檔的個數與大小的話,可以修改 /etc/audit/auditd.conf,
像 num_logs 代表檔案個數,max_log_file 是檔案大小(MB):
#
# This file controls the configuration of the audit daemon
#
log_file = /var/log/audit/audit.log
log_format = RAW
log_group = root
priority_boost = 4
flush = INCREMENTAL
freq = 20
num_logs = 50
disp_qos = lossy
dispatcher = /sbin/audispd
name_format = NONE
##name = mydomain
max_log_file = 10
max_log_file_action = ROTATE
space_left = 75
space_left_action = SYSLOG
action_mail_acct = root
admin_space_left = 50
admin_space_left_action = SUSPEND
disk_full_action = SUSPEND
disk_error_action = SUSPEND
##tcp_listen_port =
tcp_listen_queue = 5
tcp_max_per_addr = 1
##tcp_client_ports = 1024-65535
tcp_client_max_idle = 0
enable_krb5 = no
krb5_principal = auditd
##krb5_key_file = /etc/audit/audit.key
# This file controls the configuration of the audit daemon
#
log_file = /var/log/audit/audit.log
log_format = RAW
log_group = root
priority_boost = 4
flush = INCREMENTAL
freq = 20
num_logs = 50
disp_qos = lossy
dispatcher = /sbin/audispd
name_format = NONE
##name = mydomain
max_log_file = 10
max_log_file_action = ROTATE
space_left = 75
space_left_action = SYSLOG
action_mail_acct = root
admin_space_left = 50
admin_space_left_action = SUSPEND
disk_full_action = SUSPEND
disk_error_action = SUSPEND
##tcp_listen_port =
tcp_listen_queue = 5
tcp_max_per_addr = 1
##tcp_client_ports = 1024-65535
tcp_client_max_idle = 0
enable_krb5 = no
krb5_principal = auditd
##krb5_key_file = /etc/audit/audit.key
訂閱:
文章 (Atom)