Как узнать, какой процесс изменяет файл

В #Linux имеется платформа аудита, которая позволяет узнать обо всех случаях доступа к файлу, его изменениях или запуске.

Также можно вести наблюдение за изменением целых директорий.

⏺Как установить auditd (auditctl)

В #Debian, Linux #Mint, #Kali Linux, #Ubuntu и их производных для установки выполните команду:



sudo apt install auditd



В #CentOS для установки выполните команду:



yum install audit



⏺Как запустить монитор доступа и изменений файла

Необходимо начать с добавления правил.

Следующая команда добавляет монитор доступа и изменения файла /etc/resolv.conf:



sudo auditctl -w /etc/resolv.conf -p wa



Это пример команды с другой нотацией, но выполняет она идентичное действие — мониторит все изменения и доступ к файлу /etc/resolv.conf:



sudo auditctl -a always,exit -F path=/etc/resolv.conf -F perm=wa



Проверить, какие правила добавлены, можно следующей командой:



sudo auditctl -l



Хотя правило добавлено, служба аудита ещё не запущена. Для её запуска выполните команду:



sudo systemctl start auditd.service



Если вы хотите добавить данную службу в автозагрузку, то выполните:



sudo systemctl enable auditd.service



⏺Запуск auditd без перевода в фон

Предыдущая команда запустит auditd как демон, то есть служба в фоне.

Если вам это не нужно и вы хотите запустить auditd на переднем плане, то выполните следующую команду:



sudo auditd -f



В этом случае все события с отслеживаемыми файлами или папками будут отображаться в стандартном выводе.

⏺Как просмотреть журнал auditd

Журнал auditd хранится в файле /var/log/audit/audit.log.

Но вместо того, что просматривать его напрямую, можно воспользоваться утилитой ausearch, например:



sudo ausearch -f /etc/resolv.conf



Если будет выведено



<no matches>



значит данный файл ещё не трогала ни одна программа.

Чтобы узнать, какая программа выполнила действие, смотрите строку «exe=».

⏺Как остановить службу auditd

Чтобы удалить службу из автозагрузки, выполните команду:



sudo systemctl disable auditd.service



Если вы попытаетесь остановить службу следующей командой:



sudo systemctl stop auditd.service



То вы получите сообщение, что это не удалось, так как операция отклонена:



Failed to stop auditd.service: Operation refused…



Для остановки службы выполните команду:



sudo auditctl --signal TERM



☄️Полезно? Делать ли вторую часть?

«Группа Астра» и Bi.Zone поддержат переход российского бизнеса на отечественное ПО решениями по кибербезопасности.

«Группа Астра», разработчик инфраструктурного ПО, и Bi.Zone, компания по управлению цифровыми рисками, заключили соглашение о стратегическом сотрудничестве.

Подписание документа, в присутствии председателя правления ПАО Сбербанк Германа Грефа, состоялось между Дмитрием Самарцевым, директором Bi.Zone, и Ильей Сивцевым, генеральным директором «Группы Астра».

Цель сотрудничества — повысить киберустойчивость организаций России и СНГ. 

Компании будут обеспечивать технологическую совместимость своих продуктов и их интеграцию с ИТ-инфраструктурой российских организаций.

⏺Это поможет бизнесу противостоять киберугрозам и соответствовать требованиям законодательства о переходе на отечественное ПО.

Дмитрий Самарцев отметил, что сотрудничество с «Группой Астра» поможет российскому бизнесу в цифровой трансформации и обеспечении киберустойчивости.

Илья Сивцев подчеркнул, что совместная работа приведет к созданию лучших решений для информационной безопасности.

Первым шагом партнерства стала программа по поиску уязвимостей операционных систем, запущенная «Группой Астра» на платформе Bi.Zone Bug Bounty в 2023 году.

🔥 Компании также успешно протестировали совместимость #AstraLinux и Bi.Zone Compliance Platform и нацелены на дальнейшее расширение сотрудничества.

Как узнать, какой процесс изменяет файл

Продолжим говорить об
аудите в #Linux.

⏺Как удалить все правила отслеживания изменений папок и файлов

Чтобы удалить сразу все правила, выполните команду:



sudo auditctl -D



Возможно удаление отдельных правил (как по отслеживаемому событию, так и по привязанному идентификатору).

⏺Ошибка «Error opening /var/log/audit/audit.log (Нет такого файла или каталога)»

Если вы получили ошибку



Error opening /var/log/audit/audit.log (Нет такого файла или каталога)



То она означает, что служба audit не была запущена (вы забыли её запустить, она не запустилась из-за ошибки, либо вы запустили её на переднем плане).

⏺Примеры настройки auditd

Чтобы посмотреть все системные вызовы, сделанные определённой программой:



sudo auditctl -a always,exit -S all -F pid=1005



Чтобы увидеть файлы, открываемые определённым пользователем:



sudo auditctl -a always,exit -S openat -F auid=510



Чтобы увидеть неудачные вызовы openat:



sudo auditctl -a always,exit -S openat -F success=0



Для слежения за изменениями файла (два способа выражения):



sudo auditctl -w /etc/shadow -p wa
sudo auditctl -a always,exit -F path=/etc/shadow -F perm=wa



Для рекурсивного слежения за директорией на предмет изменений (два способа выражения):



sudo auditctl -w /etc/ -p wa
sudo auditctl -a always,exit -F dir=/etc/ -F perm=wa



Чтобы посмотреть, получал ли администратор доступ к файлам пользователя:



sudo auditctl -a always,exit -F dir=/home/ -F uid=0 -C auid!=obj_uid



⏺Файлы auditd

• /etc/audit/auditd.conf — конфигурационный файл для демона audit
• /etc/audit/audit.rules — правила audit для загрузки во время запуска
• /etc/audit/rules.d/ — директория, содержащая индивидуальные наборы правил для компиляции в один файл с помощью augenrules
• /etc/audit/plugins.d/ — директория, содержащая индивидуальные файлы конфигураций плагинов
• /var/run/auditd.state — сообщение о внутреннем состоянии

⏺Документация по auditd

Тут показано, как начать использовать auditd для отслеживания изменений в файле и отслеживанию доступа к файлу.

Возможности auditd не исчерпываются показанными примерами и имеется несколько утилит, с множеством настроек и опций, которые позволяют очень гибко настраивать правила мониторинга происходящего в файловой системе, а также выполнять другие сопутствующие действий.

С помощью man вы можете ознакомиться со следующей документацией:

• auditd.conf
• auditd-plugins
• ausearch
• aureport
• auditctl
• augenrules
• audit.rules

💬 Вопрос на собеседовании для сисадмина

Давайте разберем один из частых вопросов, который может быть задан на собеседовании и как на него отвечать.

❓Вопрос: Как узнать как завершилась последняя команда — успешно или нет?

✅Ответ: Можно получить статус завершения последней команды из переменной среды '$?', в ней хранится код завершения. Например:

# ls -l /var/
# echo $?
0
# ls -l /var/wwer
# echo $?
2

Код завершения 0 означает что команды выполнена успешно, любой отличное от нуля число свидетельствует об ошибке.

Управление процессами в Linux

В #Linux присутствуют некоторые команды для управления процессами:

• kill — посылает процессу сигнал завершения работы;
• pkill — завершает процесс по его имени;
• pgrep — ищет процесс по его имени (и, опционально, по имени запустившего его пользователя);
• killall — завершает все активные процессы.

Ниже приведены несколько основных примеров их использования:

$ pgrep -u diego firefox
$ kill 6516
$ pgrep -u diego firefox
$ pgrep -u diego glances
$ pkill glances
$ pgrep -u diego glances

Отправка сигналов процессам

Основополагающим способом управления процессами в Linux является отправка им соответствующих сигналов.

Для перечисления списка всех доступных сигналов, введите команду:

$ kill -l

Чтобы отправить процессу нужный сигнал, используйте команды kill, pkill или pgrep, о которых мы упоминали ранее.

Но программы могут реагировать на сигналы только в том случае, если они запрограммированы на распознавание этих сигналов.

Большинство сигналов предназначены для внутреннего использования системой или для программистов, когда они пишут код.

Ниже приведены наиболее полезные сигналы:

⏺SIGHUP (1) — отправляется процессу, когда его управляющий терминал закрыт.
⏺SIGINT (2) — отправляется процессу управляющим терминалом, когда пользователь прерывает процесс нажатием клавиш Ctrl+C.
⏺SIGQUIT (3) — отправляется процессу, если пользователь посылает сигнал выхода Ctrl+D.
⏺SIGKILL (9) — этот сигнал немедленно завершает (убивает) процесс, и процесс не будет выполнять никаких операций очистки за собой.
⏺SIGTERM (15) — сигнал завершения программы (отправляется командой kill по умолчанию).
⏺SIGTSTP (20) — отправляется процессу управляющим терминалом с запросом на остановку; инициируется пользователем нажатием клавиш Ctrl+Z.

Ниже приведены примеры команды kill для уничтожения приложения firefox с помощью PID, после его зависания:

$ pgrep -u diego firefox
2275 #ответ терминала

$ kill 9 2275

или

$ kill -KILL 2275

или

$ kill -SIGKILL 2275

Чтобы убить приложение, используя его имя, применяются команды pkill или killall, например:

$ pkill firefox

или

$ killall firefox

Что выбрать: Ubuntu vs Kubuntu vs Xubuntu vs Lubuntu

Существует несколько версий Ubuntu: Ubuntu, Kubuntu, Xubuntu и Lubuntu. Хотя все они основаны на одном и том же базовом программном обеспечении, у них разные настольные среды и специфические приложения.

Это позволяет выбрать наиболее подходящий вариант для ваших нужд.

⏺#Ubuntu

Ubuntu подходит для новичков.

Она использует настольную среду GNOME и требует 4 ГБ оперативной памяти и 25 ГБ места на диске. 

Основные плюсы — это интуитивно понятный интерфейс, быстрое и легкое установление на современное оборудование, большое сообщество поддержки.

Минусы включают менее гибкую настройку интерфейса по сравнению с другими версиями.

В комплекте поставляется множество приложений, включая офисный пакет LibreOffice, браузер Firefox и почтовый клиент Thunderbird.

⏺#Kubuntu

Kubuntu лучше всего подходит для настройки и тюнинга.

Она использует настольную среду KDE Plasma, которая позволяет значительно более гибко настраивать интерфейс. 

Требуется больше системных ресурсов, чем у Ubuntu. Основные плюсы — это очень гибкий и настраиваемый интерфейс, визуальная привлекательность.

Минусы включают большее потребление ресурсов и возможное загромождение системы дополнительными K-приложениями.

Этот дистрибутив включает в себя мощные приложения, такие как файловый менеджер Dolphin.

⏺#Xubuntu

Xubuntu лучше всего подходит для простоты и стабильности.

Она использует настольную среду Xfce и требует минимум 512 МБ памяти и 7,5 ГБ жёсткого диска. 

Основные плюсы — это стабильность и надежность, низкие системные требования.

Минусы включают менее современный интерфейс и меньше возможностей для настройки.

Рабочий стол Xfce старомоден, но надежен и потребляет минимальные ресурсы. Xubuntu может запускать те же приложения, что и Ubuntu, такие как LibreOffice и Firefox.

⏺#Lubuntu

Lubuntu — лучший вариант для лёгкого рабочего стола. Она использует настольную среду LXQt и требует минимум 1 ГБ памяти.

Основные плюсы — это очень легкий и быстрый дистрибутив, подходящий для старого и слабого оборудования. 

Минусы включают менее развитую поддержку и некоторые менее функциональные приложения.

Lubuntu предназначен для работы на старом и менее мощном оборудовании.

Рабочий стол LXQt легкий и быстрый, но все же предлагает современные функции.

#Linux

В России создали мощный ПАК для резервного копирования

«Группа Астра» и «Аквариус» разработали программно-аппаратный комплекс для быстрого создания резервных копий данных. «Аквариус» обеспечила аппаратную часть, а «Группа Астра» предоставила ПО на базе #AstraLinux и #RuBackup.

Компании подписали соглашение о продвижении отечественных ПАК для резервного копирования. 

Их первое решение, AQ_Serv\RuBackup, поддерживает хранение данных объёмом от 40 ТБ до 1,2 ПБ в зависимости от конфигурации.

ПО включает Astra Linux 1.7 и RuBackup, обеспечивая высокую нагрузку и надёжное резервное копирование.

Система прошла пилотную эксплуатацию в высоконагруженных средах, демонстрируя заявленную эффективность.

Тестирование включало сценарии с базами данных, виртуальными машинами и файловыми ресурсами.

ПАК AQ_Serv\RuBackup предназначен для государственных и корпоративных заказчиков, включая крупные предприятия и стартапы.

Комплекс поддерживает различные среды виртуализации и упрощает переход на отечественную цифровую инфраструктуру.

⚡️Все компоненты разработаны и произведены в России. Платформа Aquarius имеет сертификат российского происхождения и внесена в реестр Минпромторга РФ.

Команда #ncdu

Команда ncdu (NCurses Disk Usage) является мощным инструментом для анализа использования дискового пространства. 

Она предоставляет удобный текстовый интерфейс, который позволяет легко видеть, какие каталоги и файлы занимают больше всего места на диске.

Это особенно полезно для системных администраторов, которые хотят быстро найти и устранить проблемы с недостатком места на диске.

#Ubuntu/#Debian:

sudo apt-get install ncdu

#CentOS/#RHEL:

sudo yum install ncdu

#ArchLinux:

sudo pacman -S ncdu

Примеры использования

Анализ текущего каталога

Просто запустите ncdu без параметров, чтобы проанализировать текущий каталог:

ncdu

Анализ конкретного каталога

Укажите путь к каталогу, который хотите проанализировать:

ncdu /var/log

Исключение определённых файлов или каталогов

Если вы хотите исключить определённые файлы или каталоги из анализа, используйте опцию --exclude:

ncdu --exclude '*.log' /var/log

Сканирование удалённого сервера через SSH

Вы можете использовать ncdu для сканирования дискового пространства на удалённом сервере через SSH:

ssh user@remote-server "ncdu /"

Преимущества ncdu

⏺Удобный интерфейс: Интерактивный и простой в использовании интерфейс позволяет легко навигировать и понимать данные.

⏺Быстрота: ncdu сканирует дисковое пространство значительно быстрее, чем большинство других инструментов.

⏺Гибкость: Возможность исключения файлов и каталогов, анализ удалённых систем через SSH и другие полезные опции делают ncdu гибким инструментом для различных задач.

#Linux

Microsoft отказывается от DirectAccess в Windows

Microsoft объявила о прекращении поддержки #DirectAccess в Windows, представленного для Windows 7 и Windows Server 2008 R2 как метод подключения клиентов к корпоративным сетям без VPN.

Вместо этого корпорация рекомендует переход на Always On VPN.

Также #Microsoft завершает поддержку всех версий NTLM (LANMAN, NTLMv1, NTLMv2), объявив их устаревшими.

⏺Их следует заменить вызовами Negotiate, использующими Kerberos.

DirectAccess будет удалён из будущих версий Windows. Microsoft предлагает инструкции по переходу на Always On VPN.

В 2024 году Microsoft прекратила поддержку Driver Verifier GUI, API NPLogonNotify и NPPPasswordChangeNotify, аутентификации сервера TLS с короткими ключами RSA и Test Base для Microsoft 365.

🔥 Устаревшие функции могут оставаться в #Windows, но без новых исправлений и функций.

💬 Вопрос на собеседовании для сисадмина

Давайте разберем один из частых вопросов, который может быть задан на собеседовании и как на него отвечать.

❓Вопрос: Как узнать, установлен ли конкретный rpm-пакет?

✅Ответ: Возьмем например postfix. Следующее использование команды rpm покажет нам, установлен ли postfix или нет:

[root@cloud ~]# rpm -q postfix –last
postfix-2.10.1-6.el7.x86_64 Saturday 27 February 2016 11:56:43 PM EST
[root@cloud ~]#

Для этих же целей мы можем воспользоваться командой yum:

[root@cloud ~]# yum history package postfix

Вышла стабильная версия systemd 256

11 июня 2024 года состоялся релиз systemd 256, новой версии подсистемы инициализации и управления службами в #Linux.

В нее добавлены такие функции как run0 (замена sudo), systemd-vpick, importctl и другие.

Предыдущая версия, systemd 255, вышла 7 декабря 2023 года и включала поддержку ВSOD.

Основные изменения в systemd 256:

⏺Внедрение run0 как альтернативы sudo.

⏺Новая опция ядра "systemd.crash_action=" для управления действиями при сбое.

⏺Поддержка cgroup v1 считается устаревшей, рекомендуется переход на cgroup v2.

⏺Новый двоичный файл systemd-vpick для работы с версионными каталогами.

⏺Инструмент importctl для работы с образами дисков через systemd-importd.

⏺Новый генератор модулей systemd-ssh-generator для активации sshd по сокету.

⏺Зашифрованные учетные данные службы доступны непривилегированным пользователям через systemd-creds.

⏺Введение концепции «капсул» для управления сервисами.

⏺Поддержка секретов WireGuard в systemd-networkd.

⏺Поддержка ядер Zboot в systemd Ukify.

⏺Загрузка конфигурационных файлов из /usr/lib, /usr/local/lib и /run.

Как собрать ядро Linux с нуля

Ядро Linux является основой дистрибутивов Linux. 

Оно связывает аппаратное и программное обеспечение компьютера, а также отвечает за распределение доступных ресурсов.

Если вы хотите отключить несколько опций и драйверов или попробовать экспериментальные исправления, то вам необходимо будет собрать ядро вручную.

Подготовка и начальная конфигурация

Загрузка исходного кода

Откройте сайт kernel.org и найдите архив с исходными кодами самой свежей версии ядра (Latest Release).

Затем откройте терминал и с помощью команды wget скачайте архив с исходным кодом ядра Linux:

$ wget https://cdn.kernel.org/pub/linux/kernel/v5.x/linux-5.12.10.tar.xz

Распаковка архива с исходным кодом

Распакуйте архив, применив команду tar:

$ tar xvf linux-5.12.10.tar.xz

Установка необходимых пакетов

Нам потребуются дополнительные утилиты, с помощью которых мы произведем компиляцию и установку ядра.

Для этого выполните следующую команду:

Пользователям #Debian/#Ubuntu/Linux #Mint:

$ sudo apt-get install git fakeroot build-essential ncurses-dev xz-utils libssl-dev bc flex libelf-dev bison

Пользователям #CentOS/#RHEL/#Scientific Linux:

$ sudo yum groupinstall "Development Tools"
$ sudo yum install ncurses-devel bison flex elfutils-libelf-devel openssl-devel

Пользователям #Fedora:

$ sudo dnf group install "Development Tools"
$ sudo dnf install ncurses-devel bison flex elfutils-libelf-devel openssl-devel

Конфигурирование ядра

Исходный код ядра #Linux уже содержит стандартный файл конфигурации с набором различных настроек.

Однако вы можете сами изменить его в соответствии с вашими потребностями.

Перейдите в каталог с исходным кодом:

$ cd linux-5.12.10

Скопируйте существующий файл конфигурации:

$ sudo cp -v /boot/config-$(uname -r) .config

Чтобы внести изменения в файл конфигурации, выполните команду make:

$ make menuconfig

Данная команда запускает меню конфигурации, включающее такие параметры, как:

⏺Firmware Drivers – настройка прошивки/драйверов для различных устройств
⏺Virtualization – настройки виртуализации
⏺File systems – настройки различных файловых систем

Для навигации по меню применяются стрелки на клавиатуре. Пункт < Help > поможет вам узнать больше о различных параметрах.

Когда вы закончите вносить изменения, выберите пункт < Save >, а затем выйдите из меню с помощью пункта < Exit >.

Делать ли продолжение?
👍 / 🔥

Как собрать ядро Linux с нуля

Первая часть поста по теме

Компиляция и установка ядра

⏺Сборка ядра

Для старта сборки ядра выполните следующую команду:

$ make

Процесс сборки и компиляции ядра #Linux занимает довольно продолжительное время.

Во время этого процесса в терминале будут перечисляться все выбранные компоненты ядра Linux.

Такие как: компонент управления памятью, компонент управления процессами, драйверы аппаратных устройств, драйверы файловых систем, драйверы сетевых карт и пр.

Затем установите модули с помощью следующей команды:

$ sudo make modules_install

Установите новое ядро:

$ sudo make install

⏺Обновление загрузчика

Загрузчик #GRUB – это первая программа, которая запускается при включении системы.

Пользователям #Debian/#Ubuntu/Linux #Mint:

Команда make install автоматически обновит загрузчик.

Для того, чтобы обновить загрузчик вручную, вам необходимо сначала обновить initramfs до новой версии ядра:

$ sudo update-initramfs -c -k 5.12.10

Затем обновить загрузчик GRUB с помощью следующей команды:

$ sudo update-grub2

Пользователям #CentOS/#RHEL/#ScientificLinux:

$ sudo grub2-mkconfig -o /boot/grub2/grub.cfg
$ sudo grubby --set-default /boot/vmlinuz-5.6.9

Вы можете подтвердить детали с помощью следующих команд:

grubby --info=ALL | more
grubby --default-index
grubby --default-kernel

⏺Перезагрузка системы

После выполнения вышеописанных действий перезагрузите свой компьютер.

Когда система загрузится, проверьте версию используемого ядра с помощью следующей команды:

$ uname -r

🔥 Как видите, теперь в системе установлено собранное нами ядро Linux-5.12.10.

💬 Вопрос на собеседовании для сисадмина

Давайте разберем один из частых вопросов, который может быть задан на собеседовании и как на него отвечать.

❓Вопрос: Как войти в режим одиночного пользователя (single user mode) в RHEL 7?

✅Ответ: При загрузке системы нужно войти в меню загрузчика GRUB2, нажать 'e', найти строку начинающуюся с 'linux16/vmlinz' и заменить параметр 'ro' на 'rw init=/sysroot/bin/bash'.

Нажать ctrl-x для продолжения загрузки.