我得到了带有Nginx和php-fpm的Ubuntu服务器。我不知道为什么,但是有时我的Web文件夹中的文件被不知名的人删除(我认为)。每次删除的文件列表相同。我检查日志一切正常。因此,我为Ubuntu安装了auditd。当我的文件再次被删除时,我看到了这一点:
type=SYSCALL msg=audit(1531263705.847:98853): arch=c000003e syscall=87 success=yes exit=0 a0=7f8c948a5798 a1=1 a2=7f8c948a579f a3=1 items=2 ppid=1800 pid=15527 auid=4294967295 uid=1001 gid=1001 euid=1001 suid=1001 fsuid=1001 egid=1001 sgid=1001 fsgid=1001 tty=(none) ses$
type=CWD msg=audit(1531263705.847:98853): cwd="/path.com/public"
type=PATH msg=audit(1531263705.847:98853): item=0 name="./" inode=1052665 dev=fd:01 mode=040775 ouid=33 ogid=33 rdev=00:00 nametype=PARENT
type=PATH msg=audit(1531263705.847:98853): item=1 name="./favicon.ico" inode=1045946 dev=fd:01 mode=0100664 ouid=33 ogid=33 rdev=00:00 nametype=DELETE
1800 pid是php-fpm,因此我看到php-fpm创建子进程会删除我的文件?有可能吗?