Linux

在 /tmp 上創建名為“file*”的隨機空文件

  • February 23, 2019

我有兩台 RHEL 6.10 伺服器,其中 /tmp 不斷被數千個具有以下名稱的文件填滿

-rw-rw-r--. 1 root    root        0 Feb 22 17:30 fileoQ1gE0
-rw-rw-r--. 1 root    root        0 Feb 22 17:31 fileTFa0e7
-rw-rw-r--. 1 root    root        0 Feb 22 17:32 fileSxEdEa
-rw-rw-r--. 1 root    root        0 Feb 22 17:33 filegoLf6g
-rw-rw-r--. 1 root    root        0 Feb 22 17:34 filebj3CJv
-rw-rw-r--. 1 root    root        0 Feb 22 17:35 fileEVJerA
-rw-rw-r--. 1 root    root        0 Feb 22 17:36 file5X9G3G
-rw-rw-r--. 1 root    root        0 Feb 22 17:37 fileScyBJY
-rw-rw-r--. 1 root    root        0 Feb 22 17:38 filePCq3K0
-rw-rw-r--. 1 root    root        0 Feb 22 17:39 filePnBcVp
-rw-rw-r--. 1 root    root        0 Feb 22 17:40 fileTbupIR
-rw-rw-r--. 1 root    root        0 Feb 22 17:41 file4jmFGS
-rw-rw-r--. 1 root    root        0 Feb 22 17:42 fileBP8HL0
-rw-rw-r--. 1 root    root        0 Feb 22 17:43 fileb605If
-rw-rw-r--. 1 root    root        0 Feb 22 17:44 file8Rubgm
-rw-rw-r--. 1 root    root        0 Feb 22 17:45 file7UJEJr
-rw-rw-r--. 1 root    root        0 Feb 22 17:46 filethKoZv
-rw-rw-r--. 1 root    root        0 Feb 22 17:47 fileJEVJpL
-rw-rw-r--. 1 root    root        0 Feb 22 17:48 filebeLOuP
-rw-rw-r--. 1 root    root        0 Feb 22 17:49 fileN1VVJU
-rw-rw-r--. 1 root    root        0 Feb 22 17:50 fileHO9fll
-rw-rw-r--. 1 root    root        0 Feb 22 17:51 filejEj1Rq
-rw-rw-r--. 1 root    root        0 Feb 22 17:52 fileMPnCWJ

root 的 crontab 什麼都沒有,有什麼辦法可以知道是什麼程序在這裡創建文件?即使它們是 0 字節,它也困擾著我,因為我只是不知道為什麼要創建它們。

啟用auditd並編寫一些規則來監視此目錄的寫入類型權限。

-w /tmp -p w -k tmp

如何監控特定目錄或文件的權限、所有權或任何其他更改

RHEL 6 安全指南 > 第 7 章系統審計

也許快速lsof|grep /tmp/file吐出文件所屬的PID?

引用自:https://serverfault.com/questions/955347