在 RHEL 7.2 机器上,如果我在控制台会话中创建一个 POSIX 共享内存,然后/dev/shm从 SSH 会话中查询它的存在,它会在第一次显示共享内存文件,但之后它被神秘地删除了。
最后,我将测试用例分解为以下步骤:
touch /dev/shm/sampletailf /dev/shm/sample在 box1 上。它将是可访问的。在 box2 上,做 ssh user@box1 "ls -l /dev/shm/"
-rw------- 1 user user 1 Aug 25 17:12 sample
在 box1 上,tailf 显示该文件已被删除。
tail: '/dev/shm/sample' has become inaccessible: No such file or directory
我观察到,与该特定用户对应的所有文件都从 中删除/dev/shm,即使那是包含文件的目录树。
我试图监视文件,sshd 上的 strace 等。
我尝试使用以下规则进行审计,但没有运气:
## This file is automatically generated from /etc/audit/rules.d
-D
-b 1024
# monitor unlink() and rmdir() …