我在供应商提供的 Red Hat 7 系统上的 /etc/rc.d/init.d/ 中有一个脚本。该脚本可以通过 启动和停止systemctl,但实际上它似乎不是一个 systemd 单元文件。
该脚本取决于系统单元文件在引导时安装的驱动器。然而,这个初始化脚本试图在挂载完成之前启动,所以它总是失败。
我尝试通过在 init 脚本的开头添加一行来进行破解,这会导致脚本在脚本的其余部分执行之前休眠 30 秒:sleep 30.
但是,睡眠功能并非一直有效。
有没有办法让这个初始化脚本依赖于正在完成的 systemd 挂载单元文件?除了在初始化脚本的开头添加睡眠之外,还有什么更好的方法来完成此任务?谢谢。
不同但相同的 linux 系统上的通用二进制文件(比如说相同的 Debian 版本,完全修补)是否应该在系统之间具有完全相同的二进制文件(匹配哈希)?
是否有任何已知的这些“已知良好”的 linux 散列集合,类似于 VirusTotal 如何将 microsoft 提供的二进制文件标识为“由 Microsoft 提供”?
我问是因为几乎任何时候我在我的系统上调查一个(希望)合法的二进制文件,它几乎从未出现在 VirusTotal 或互联网上的任何其他地方(除非它像ls)
今天早上我进来发现我的硬盘驱动器灯一直亮着。这很不寻常,所以我跑过去iotop看到一个find命令正在搜索我的文件系统。
我决定运行ps auxZ以转储带有 SELinux 标签的进程。事实证明该find命令是在安全上下文下运行的locate_t。
基于此,我得出结论,这是一次locate数据库更新。
我想知道如何在不查看进程的安全标签的情况下快速得出相同的结论?
我正在尝试转储由 ELF 文件 ( /usr/bin/ls)导入的共享库的完整路径
使用readelf --dyn-syms /usr/bin/ls 我得到库的名称,但不是它们在文件系统上的位置:
101: 0000000000000000 0 FUNC GLOBAL DEFAULT UND [...]@LIBSELINUX_1.0 (4)
使用objdump -T /usr/bin/ls我可以获得更多信息(包括函数名称):
0000000000000000 DF *UND* 0000000000000000 (LIBSELINUX_1.0) getfilecon
这是有用的信息,但我怎样才能在磁盘上提取库的位置?我可以运行该文件并查看它通过 . 打开的内容lsof,但是有什么方法可以在不运行该文件的情况下执行此操作吗?
我试图让/sys/fs/selinux/enforce总是包含“1”,并防止它被改变。
我已经能够/etc/selinux/config通过运行来做到这一点chattr +i /etc/selinux/config
但是,当我在 selinux sysfs 中的文件上尝试此操作时,出现以下错误:
chattr: Inappropriate ioctl for device while reading flags on /sys/fs/selinux/enforce
我假设这是由于 sysfs 文件与实际文件不同。
任何已知的方法来实现相同的结果?
我发现lsof命令输出中使用了一个 Unix 套接字:
COMMAND PID TID TASKCMD USER FD TYPE DEVICE SIZE/OFF NODE NAME
screen 110970 username 4u unix 0xffff91fe3134c400 0t0 19075659 socket
“DEVICE”列包含看起来像内存地址的内容。根据 lsof 手册页:
DEVICE contains the device numbers, separated by commas, for a character special, block special, regular, directory or NFS file;
or ``memory'' for a memory file system node under Tru64 UNIX;
or the address of the private data area of a Solaris socket stream;
or a kernel reference address that identifies the file (The kernel reference address may be used for FIFO's, for example.);
or the base address or device name of a Linux AX.25 socket device.
Usually only the lower thirty two bits of Tru64 UNIX kernel addresses are displayed.
我的问题是,我在看这些中的哪一个0xffff91fe3134c400?
另外,我该如何与之互动?我知道我可以netcat用来连接到 Unix 域套接字,但是从在线阅读示例看来,您必须指定一个文件。
显然我的系统发生了一些变化,而不是在 500 毫秒内关闭,它现在必须等待 1 分 30 秒,因为一些未知的进程阻止了它。普利茅斯关机屏幕显示类似于“正在为会话 2 运行停止作业”的内容。
有什么方法可以完全禁用关闭 systemd 服务的所有“超时”,并在任何情况下强制计算机立即关闭?我不想等待停止作业完成,如果我按下电源按钮,无论系统上运行什么,它都应该立即关闭。
此外,是否有任何可查看的日志或工具可以显示哪个进程正在阻止关机进程?我知道systemd-analyze适用于启动,是否有等效的关机延迟?
我对将超时设置为低值的研究显然只适用于单一的 systemd 服务,我找不到一种方法来配置 1 秒系统范围的超时。
我在 Debian 上不稳定。
我想故意安装旧的易受攻击版本的 liblog4j2-java 包,以测试 CVE-2021-44228 漏洞。我正在使用 Ubuntu 机器。
我知道我可以用 列出旧的软件包版本apt-cache madison liblog4j2-java,但是这些仍然容易受到攻击吗?
如何下载旧的但官方的软件包?
我正在尝试编写一个 1 行 bash 脚本,该脚本将获取看起来像内核进程的所有进程的 PID,并检查它们是否有内容/proc/*/maps,这表明内核进程伪装。
我目前有以下脚本:
for pid in $(ps aux | grep "\[" | awk -F' ' '{print $2}');do if [ -s /proc/$pid/maps ]; then echo $pid; fi; done
如果/proc/$pid/maps大小大于 0,脚本应该输出 pid。但是,脚本什么也不输出。
if [ -s /proc/$pid/maps ]应该指示文件是否为空。它似乎不起作用。
我可以使用另一种方法解决此问题,但-s互联网建议使用此选项来检查文件是否为空。
这里有什么问题?我确实知道在其命令行(avahi 守护进程)中有一个带有括号的进程,其中的内容将包含在 中/proc/$pid/maps,因此应该至少有 1 个 pid 输出用于测试目的。如果我从管道中删除 grep,所以它遍历所有 pid,仍然没有输出。
我已经有一个多月没有在 Debian 不稳定版上获得任何内核更新了,这对于不稳定的发行版来说似乎很长一段时间。我的 uname -a 输出显示:
5.10.0-8-amd64 #1 SMP Debian 5.10.46-4 (2021-08-03) x86_64 GNU/Linux
可以看到,编译时间是8月3日,这正常吗?我习惯于在不稳定的情况下不断获得内核更新。这也恰逢 Debian 11 的发布,或许与此有关。
我/etc/apt/sources.list看起来不错:
deb http://debian.csail.mit.edu/debian/ unstable main contrib non-free
deb-src http://debian.csail.mit.edu/debian/ unstable main contrib non-free