我的应用程序目录每 3 周就会被一些 shell 脚本删除一次。问题是这些 shell 脚本是由不同的团队成员编写的,并且 shell 脚本有超过 1k 个文件(每个脚本都有其用途,但是某些脚本中的 bug 导致了问题)。
我尝试在这些脚本中搜索“rm -rf”,但返回了太多匹配的脚本。除了 audit 和 inotifywait,有没有办法找到哪个 shell 脚本删除了我的目录?
答案1
如果您想知道哪个 PID 和哪个命令删除了文件,则必须使用审计守护进程。介绍该概念的链接如下:http://security.blogoverflow.com/2013/01/a-brief-introduction-to-auditd/
或者,您可以使用 NetIQ Sentinel 之类的软件来跟踪您的系统。不过,对于这种单一用途来说,这很昂贵。
另外,单个系统上有 1000 个 shell 脚本?这太难管理了。这就是容器化和虚拟化的目的,或者至少是某种工作负载分离/耕作。这个系统上有太多事情要做,你开始感受到它的痛苦。