我有 4 个特定文件似乎不断从用户的主目录中消失。据我们所知,没有 cronjobs 或其他自动化任务会删除它们。我已经对它们设置了 auditd,但日志并没有真正显示出任何感兴趣的东西。我可以看到我们的备份实用程序每晚都在访问它们,直到它们不再存在为止,但除此之外别无他物。有没有什么会导致这些文件被删除而绕过auditd?
有问题的文件是这些:
/home/username/.bashrc
/home/username/.bash_profile
以及该用户的 .ssh 目录中的几个文件。放置在名为“keepers”的子文件夹中的这些文件的副本也会同时被删除。将它们的权限更改为 000 并将它们归 root 拥有并没有帮助。
我目前已经设置了 inotifywait 来记录创建、删除、移动那个子文件夹,所以希望这会出现一些东西,尽管除了它发生的时间之外没有记录太多,而不是导致它的原因。
我想限制来自除单个 IP 地址之外的所有用户的 root ssh 登录。
我的印象是我只需要将它添加到 /etc/pam.d/sshd:
account required pam_access.so
这到/etc/security/access.conf:
-:root:ALL EXCEPT IPADDRESS
但这似乎不起作用。