Algunos scripts de shell eliminan el directorio de mi aplicación cada 3 semanas. El problema es que estos scripts de shell fueron escritos por diferentes miembros del equipo y los scripts de shell tienen más de 1k archivos (cada script tiene su propósito, pero un error en algunos scripts provocó la problema).
Intenté buscar "rm -rf" en estos scripts, pero devuelve demasiados scripts coincidentes. A excepción de audit e inotifywait, ¿tiene alguna forma de encontrar qué script de shell eliminó mi directorio?
Respuesta1
Si desea saber qué PID y qué comando eliminó un archivo, tendrá que utilizar el demonio de auditoría. Un enlace que presenta el concepto está aquí:http://security.blogoverflow.com/2013/01/a-brief-introduction-to-auditd/
Alternativamente, puede utilizar algo como NetIQ Sentinel para realizar un seguimiento de sus sistemas. Sin embargo, eso es caro para un propósito tan único.
Además, ¿1k scripts de shell en un solo sistema? Eso es inmanejable. Para eso están la contenedorización y la virtualización, o al menos algún tipo de separación/cultivo de cargas de trabajo. Tienes tantas cosas sucediendo con este sistema que estás empezando a sentir el dolor.