服务器执行rm命令时自动记录到审计日志中

于 2024-01-05 13:39:56 发布
阅读量611 收藏 6
点赞数 7
分类专栏: Linux 文章标签: 服务器 linux 运维 审计日志 rm -rf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lx__angel/article/details/135407461
版权

目的

当在服务器上执行类似于 rm 命令时,自动记录该命令执行的时间,在哪里执行的,删除的什么文件,记录到审计日志中,能够查找到某些文件丢失原因

配置

# 需要root权限,sudo不行,这里假设执行 rm
auditctl -w /usr/bin/rm -p x -k rm-logs
auditctl -w /usr/local/bin/rm -p x -k rm-logs
auditctl -w /usr/bin/touch -p x -k touch-log

# 查看配置的审计规则
auditctl -l

# -w:表示要监视的文件或目录路径。在这种情况下,/bin/rm 是要监视的可执行文件的路径。
# /usr/bin/rm:指定要监视的文件或目录的路径。在这里,它是rm命令的完整路径。
# -p x:表示要监视的操作权限。在这种情况下,x 表示执行权限,即当 rm 命令被执行时触发审计规则。
# -k rm-logs:指定生成的审计事件的键名(key name)。这个键名用于在审计日志中标识与此规则相关的事件。在这里,rm-logs 是键名。

测试

测试root账号执行删除命令

# 用root账号,先创建一个文件
touch test.txt
# 再删除一个文件
rm -f test.txt
# 查看审计日志
vim /var/log/audit/audit.log

测试普通账号执行删除命令

# 切换普通用户
su - test
# 创建一个文件夹
mkdir aaaaaa
# 删除一个文件夹
rm -rf aaaaaaa
# 查看审计日志
sudo /var/log/audit/audit.log

lx__angel
关注
  • 7
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux系统进阶】Linux命令日志审计方法、企业动态密码方案、加密算法md5与随机数8种方法(二)
走向CTO的路上...
07-21 167
syslog是Linux系统的一个日志服务,可以记录系统和应用程序的日志信息,包括命令执行日志。MD5算法的基本原理是将消息分成512位的块,对每个块进行一系列的位操作和变换,最终生成散列值。随机数生成是密码学非常重要的一部分,常见的随机数生成方法包括伪随机数生成器和真随机数生成器。真随机数生成器是一种基于物理过程的随机数生成器,它利用物理过程的随机性生成真正的随机数。动态密码方案指的是一种基于间、令牌或其他因素生成动态密码的方案,用于增强用户身份认证的安全性。
Linux服务器rm命令替换
01-09
按照本说明可以实现替换linux服务器rm命令;按照本说明可以实现替换linux服务器rm命令
audit审计规则配置方法
bigwood99的博客
09-06 1万+
1.概述 Linux提供了一个审计服务auditd。 默认情况下,开启这个服务只记录较少的资料。 这可能不满足大多数人的需要。但是如果开启全部记录,对于生产环境,可能负载过重,导致影响正常的服务。因此,根据实际需要进行配置是必须的。 Linux系统提供了一些配置的例子可以参考。 /usr/share/doc/audit-2.4.5 audit规则可以使用auditctl命令或配置规则文件来实现。 auditctl命令可以立即生效,但是重启服务会丢失配置的规则。 使用配置文件配置,需...
Linux使用audit审计用户执行命令
Blue summer的博客
12-19 9390
注:本文基于CentOS 6.5编写
linux 安全审计audit 系统审计 记录root操作
sonflower123的博客
06-08 2947
Linux auditctl 使用
Linux日志处理
天空源的博客
06-25 940
LINUX 下定任务删除N天前的文件 一、模版:find 目录 -mtime +天数 -name "文件名" -exec rm -rf {} \; 示例:将/usr/local/log目录下所有3天前带".log"的文件删除 find /usr/local/log-mtime +3-name "*.log*"-exec rm -rf {} \; 二、利用crontab 执行任务 写脚本 ...
linuxrm命令使用详解
01-10
前面学习了创建文件和目录的命令mkdir ,今天学习一下linux删除文件和目录的命令rm命令rm是常用的命令,该命令的功能为删除一个目录的一个或多个文件或目录,它也可以将某个目录及其下的所有文件及子目录均...
基础电子linux删除命令rm的技巧介绍
11-06
用户可以用rm命令将其删除。该命令的功能为删除一个目录的一个或多个文件或目录,它也可以将某个目录及其下的所有文件及子目录均删除。对于链接文件,只是删除了链接,原有文件均保持不变。  rm命令的一般形式为...
Linux命令替换rm命令防止误删除
01-20
推荐阅读:Linux rm 命令误删文件的恢复方法 1. 在/home/username/ 目录下新建一个目录,命名为:.trash 2.. 在/home/username/tools/目录下,新建一个shell文件,命名为: remove.sh 代码如下: PARA_CNT=$# TRASH_...
Linux命令每天必学(5)之rm命令
09-15
rm是常用的命令,该命令的功能为删除一个目录的一个或多个文件或目录,它也可以将某个目录及其下的所有文件及子目录均删除。对于链接文件,只是删除了链接,原有文件均保持不变
Linux审计工具auditd使用与日志收集
不以物喜的博客
02-04 1万+
0 概述 Auditd工具可以帮助运维人员审计Linux,分析发生在系统的发生的事情。Linux 内核有用日志记录事件的能力,包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞(如多次失败的登录尝试,或者用户对系统文件不成功的访问)。 1 安装 Centos7默认已安装Audit 使用命令service auditd status可查看该服务是否开启 2 配置文件 在/etc/audit路径下 auditd.conf文件 ----审计工具的配置文件 audit.rules文
Linux下安全审计audit 系统审计 记录root操作
河静
09-24 3764
Linux下安全审计audit 系统审计 1.审计介绍 Linux 审计系统提供了一种跟踪系统上与安全相关的信息的方法。根据预先配置的规则,Audit 会生成日志条目,以尽可能多地记录有关系统上发生的事件的信息。此信息对于关键任务环境确定安全策略的违反者及其执行的操作至关重要。审计不会为您的系统提供额外的安全性;相反,它可用于发现违反您系统上使用的安全策略的情况。可以通过其他安全措施(例如 SELinux)进一步防止这些违规行为。 audit能够在日志记录的信息有: 间的日期间、类型和结果 主体和
linux配置JAVA运行环境后可能还是无法找到java版本命令
热门推荐
lx__angel的博客
07-19 2万+
今天在我的linux系统(阿里云服务器)centos7.5(貌似,谁知道呢) 配置java运行环境,到已经将jdk的压缩包解压缩,修改了/etc/profile的配置文件 然后立刻生效,运行 . /etc/profile,是配置文件生效之后,开始运行java -version 想看看自己的成果 可以无奈显示找不到命令,于是我就开始找各种原因。 结果是我的PATH环境变量写在了JAVA_H...
nfs实现共享目录对于集群高可用风险,nfs客户端容易卡死
lx__angel的博客
11-30 2248
客户端nfs有一个内核级别的线程,nfsv4.1-svc,该线程会一直和nfs服务端进行通信,且无法被kill掉。(停止客户端Nfs服务,设置开机不自启动,并卸载nfs,重启主机才能让该线程停掉)。
datax数据导入starrocks表报列数量不匹配错误,问题解决思路
lx__angel的博客
01-17 1921
在做客户数据导入任务的候,需要将客户oracle的数据通过datax导入到 starrocks的表,但是datax的配置文件SQL查找客户数据的列数和要导入的starrocks表的列数都是相同且对应的,但是导入结果就是报了列数不对等的错误,Error: Value count does not match column count. Expect 20, but got 21. Row
关于使用xftp传输文件到远程linux操作系统
lx__angel的博客
01-24 1543
首先下载xftp这个软件 安装运行后如下界面,打开新建文件传输 然后首次登陆需要选择xftp,用户名一般选择root,密码输入,点击连接,我先得是我已经连接过了的linux操作系统 连接完成后,如下图界面 左边是你本地系统,右边是你所连接待传输文件的远程linux操作系统,下面是文件传输过程,一般拖拽就可以传输 该传输方式也适用于其它远程操作系统
linux文件的三种间,修改间、状态间和读取
lx__angel的博客
08-31 1209
修改间:modification time,mtime 当该文件【数据内容】变更,就会更新这个间,内容数据指的是文件内容,而不是文件的属性或权限。例如当vim编辑文件内容、echo "aa">>追加 状态间:status time,ctime 当文件【状态】改变,就会更新这个间,权限和属性变更了都会更新这个间,例如chmod 读取间:access time,atime 当该文件 【内容被读取】,就会更新这个读取间,例如使用cat命令 实验: ...
linux shell启动停止重启查看状态的脚本模板,可直接复制修改
lx__angel的博客
11-23 1141
linux 通用启停脚本模板,可以直接复制使用 ./脚本名称.sh start 启动java服务 ./脚本名称.sh stop 停止java服务 ./脚本名称.sh restart 重启java服务 ./脚本名称.sh status 查看java服务状态
ansible命令执行rm命令
最新发布
08-18
在Ansible,可以使用`command`模块来在远程主机上执行`rm`命令。以下是一些示例: 1. 删除文件: ```yaml - name: 删除文件 command: rm /path/to/file ``` 2. 删除目录及其内容: ```yaml - name: 删除目录 command: rm -r /path/to/directory ``` 请注意,使用`rm`命令要小心,确保您指定的路径和文件/目录名称是正确的,以免意外删除重要数据。在执行任何删除操作之前,请确保您对操作有足够的了解和理解,并且请在测试环境进行操作以避免意外情况。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值