Überlegungen beim Auditing von Symlinks und Hard Links
Änderungen vorschlagen
PDFs
Es gibt bestimmte Überlegungen, die Sie bei der Prüfung von Symlinks und harten Links beachten müssen.
Ein Audit-Datensatz enthält Informationen über das zu überwachende Objekt, einschließlich des Pfads zum überwachten Objekt, der im ObjectName Tag identifiziert wird. Sie sollten wissen, wie Pfade für Symlinks und harte Links im ObjectName Tag aufgezeichnet werden.
Symlinks
Ein Symlink ist eine Datei mit einer separaten Inode, die einen Zeiger auf den Speicherort eines Zielobjekts enthält, das als Ziel bezeichnet wird. Beim Zugriff auf ein Objekt über einen Symlink interpretiert ONTAP automatisch den Symlink und folgt dem tatsächlichen kanonischen protokollunabhängigen Pfad zum Zielobjekt im Volume.
In der folgenden Beispielausgabe gibt es zwei Symlinks, die beide auf eine Datei mit dem Namen verweisen target.txt. Einer der Symlinks ist ein relativer Symlink und einer ist ein absolutes Symlink. Wenn einer der Symlinks auditiert ist, ObjectName enthält das Tag im Audit-Ereignis den Pfad zur Datei target.txt:
[root@host1 audit]# ls -l total 0 lrwxrwxrwx 1 user1 group1 37 Apr 2 10:09 softlink_fullpath.txt -> /data/audit/target.txt lrwxrwxrwx 1 user1 group1 10 Apr 2 09:54 softlink.txt -> target.txt -rwxrwxrwx 1 user1 group1 16 Apr 2 10:05 target.txt
Feste Verbindungen
Eine harte Verbindung ist ein Verzeichniseintrag, der einen Namen mit einer vorhandenen Datei auf einem Dateisystem verknüpft. Die harte Verbindung verweist auf den Inode-Speicherort der Originaldatei. Ähnlich wie ONTAP Symlinks interpretiert, interpretiert ONTAP die harte Verbindung und folgt dem eigentlichen kanonischen Pfad zum Zielobjekt im Volume. Wenn der Zugriff auf ein hartes Link-Objekt überwacht wird, zeichnet das Audit-Ereignis diesen absoluten kanonischen Pfad im ObjectName Tag statt im Pfad für die harte Verknüpfung auf.