已知主机文件不断被删除

已知主机文件不断被删除

有一个奇怪的问题,我的 known_hosts 文件会定期被删除。有什么方法可以查看文件以了解是什么删除了它?有没有可以监控的 OSX 日志来查看是什么删除了它?

答案1

您可以使用审计系统来监视特定事件。文件删除就是其中之一。您可以在以下位置查看有关如何修改它以满足您的需求的更多详细信息:

具有安全审计功能的 OS X

在您的情况下,编辑 /etc/security/audit_control 文件并添加用于文件删除的标志“fd”。

根据我的经验,每次进行更改后都必须重新启动才能确保其有效。我尝试通过发出命令来避免重新启动:

audit -s

但它并不可靠。

相关内容