/tmpフォルダに疑わしいファイルが見つかると、マルウェア検出機能がそのファイルをクリーンアップします。しかし、このファイルをアップロードした人が誰であるか、どのスクリプトとユーザーアカウントが使用されているかを知りたいです。 /tmp フォルダにエントリだけを継続的に記録し、そのフォルダ内の各ファイルの IP およびアクセス時間のみを含むログファイルを生成する方法はありますか?
他のすべての既存のログでエントリを見つけようとしましたが、どのログファイルでもエントリを見つけることができませんでした。
ありがとうございます。
答え1
監査サブシステムを使用して、誰が/ tmpにファイルを作成したかを確認します。まず、監査デーモン(auditd)が実行されていることを確認してください。
# service auditd status
Redirecting to /bin/systemctl status auditd.service
● auditd.service - Security Auditing Service
Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
Active: active (running) since Wed 2017-08-30 03:43:01 EDT; 2 days ago
次に、/ tmpディレクトリへの書き込み(ファイルの作成、削除、名前変更など)を監視するルールを追加します。
# auditctl -w /tmp -p w -k "tmp"
これにより、/ tmpディレクトリに監視が作成され、すべての書き込みが監査ログに書き込まれます。ログは/var/log/auditにあります。 "tmp"を使用してすべての項目を見つけることができます。