Mein Anwendungsverzeichnis wird alle drei Wochen von einem Shell-Skript gelöscht. Das Problem besteht darin, dass diese Shell-Skripte von verschiedenen Teammitgliedern geschrieben wurden und mehr als 1.000 Dateien umfassen (jedes Skript hat seinen Zweck, aber ein Fehler in einem Skript führt zum Problem).
Ich habe versucht, in diesen Skripten nach „rm -rf“ zu suchen, aber es werden zu viele übereinstimmende Skripte zurückgegeben. Gibt es außer Audit und inotifywait eine Möglichkeit herauszufinden, welches Shell-Skript mein Verzeichnis gelöscht hat?
Antwort1
Wenn Sie wissen möchten, welche PID und welcher Befehl eine Datei gelöscht haben, müssen Sie den Audit-Daemon verwenden. Hier finden Sie einen Link, der das Konzept erklärt:http://security.blogoverflow.com/2013/01/a-brief-introduction-to-auditd/
Alternativ können Sie etwas wie NetIQ Sentinel verwenden, um den Überblick über Ihre Systeme zu behalten. Für einen solchen Einzelzweck ist das allerdings teuer.
Und 1.000 Shell-Skripte auf einem einzigen System? Das ist nicht zu bewältigen. Dafür gibt es Containerisierung und Virtualisierung oder zumindest eine Art Trennung/Farming der Arbeitslast. Auf diesem einen System läuft so viel, dass Sie langsam die Qualen zu spüren bekommen.