1.1 安装 locate 命令

# dnf install mlocate

1.2 更新 locate 数据库

# updatedb

（
注意：如果不更新 locate 数据库，在使用 locate 命令后可能会报错

locate: can not stat () `/var/lib/mlocate/mlocate.db': No such file or directory

）

内容二：locate 命令的选项

1) -b 或者 –basename 只显示使用指定模式匹配名称的条目
2) -c 或者 –count 只显示找的数量
3) -e 或者 –existing 只显示存在的条目
4) -i 或者 –ignore-case 查找时忽略大小写
5) -r 或者 –regexp 使用正则表达式
6) –regex 使用扩展正则表达式

内容三：locate 命令的案例

3.1 案例一：查找包含 passwd 的文件

# locate passwd

3.2 案例二：在 /etc/ 目录下查找以 sh 开头的文件

# locate /etc/sh

3.3 案例三：在当前目录下查找以 r 开头的文件并忽略大小写

# locate -i ~/r

3.4 案例四：使用正则表达式超找包含 1.txt 或 2.txt 的文件

# locate -r [1-2].txt

1.1 profile 全局文件的位置 （影响所有用户）

/etc/profile

1.2 profile 局部文件的位置 （只影响单个用户）

~/.bash_profile

或者：

~/.bash_login

或者：

~/.profile

1.3 profile 文件的作用

在用户登录时设置用户的环境变量，只在用户登录时才会生效

1.4 登录 Linux 时执行 profile 文件的顺序

第一步，执行：

/etc/profile

第二步，按以下顺序一一尝试执行以下 3 个文件中的 1 个，当执行成功后则停止尝试下 1 个文件：

~/.bash_profile
~/.bash_login
~/.profile

第三步：开始调用解释器

（如果是调用 bash 解释器，则继续执行登录 bash 时执行 bashrc 文件的顺序）

内容二：bashrc 文件

2.1 bashrc 全局文件的位置 （影响所有用户）

/etc/bashrc

或者：

/etc/bash.bashrc

2.2 bashrc 局部文件的位置 （只影响单个用户）

~/.bashrc

2.3 bashrc 文件的作用

在用户使用 bash 解释器或登录 bash 解释器时设置用户的环境变量，每次调用 bash 解释器时都会生效

2.4 使用 bash 或登录 bash 时执行 bashrc 文件的顺序

第一步，执行以下 2 个文件中的 1 个：

/etc/bashrc
/etc/bash.bashrc

第二步，执行：

~/.bashrc

1.1 设置 audit 日志的保存时间

# vim /etc/audit/auditd.conf

确保部分内容如下：

......
local_events = yes
......
write_logs = yes
......
log_file = /var/log/audit/audit.log
......
max_log_file = 8
......
num_logs =5
......
max_log_file_action = ROTATE
......

（
补充：这里以
1) 开启 audit 日志 （local_events = yes） （write_logs = yes）
2) 将 audit 日志写入 /var/log/audit/audit.log 文件 （log_file = /var/log/audit/audit.log）
3) audit 日志每达到 8M 大小就将旧的 audit 日志进行备份并创建新的 audit 日志 （max_log_file = 8） （max_log_file_action = ROTATE），也可以修改成： max_log_file_action = keep_logs
4) 旧的 audit 日志保存 5 份 （num_logs =5）
为例
）

1.2 让设置的 audit 时间生效

# service auditd restart

方法二：通过 logrotate 配置文件设置

2.1 设置 audit 日志的保存时间

# vim /etc/logrotate.d/auditd

创建以下内容：

/var/log/audit/*
{
rotate 30
daily
missingok
compress
delaycompress
postrotate
touch /var/log/audit/audit.log ||:
chmod 0600 /var/log/audit/audit.log ||:
service auditd restart
endscript
}

（
补充：这里以：
1) 备份的日志文件保留 30 份 （rotate 30）
2) 每天将现在的日志文件进行备份并生成新的日志文件 （dayly）
）

2.2 让设置的 audit 时间生效

# systemctl restart logrotate.service

1.1 rpm2cpio 命令

将 RPM 文件 （安装包） 转换为 cpio 格式

1.2 cpio 命令

从 cpio 格式中的 RPM 文件 （安装包） 中提取子文件

内容二：rpm2cpio 命令和 cpio 命令的格式

# rpm2cpio <RPM file (installation package)> | cpio -idv <absolute path of the file>

内容三：cpio 命令的选项

1) -i 即 copy-in 模式，还原 RPM 文件 （安装包） 里的子文件
2) -d 在还原的过程中创建对应的目录
3) -v 显示还原的过程

内容四：rpm2cpio 命令的案例 （安装 RPM 文件 （安装包））

4.1 拷贝要安装的 RPM 文件 （安装包） 到当前目录

（步骤略）

4.2 创建用于提取 RPM 文件 （软件包） 的目录

# mkdir bash

（补充：这里以创建 bash 目录为例）

4.3 进入用于提取 RPM 文件 （软件包） 的目录

# cd bash

（补充：这里以进入 bash 目录为例）

4.4 提取 RPM 文件 （安装包） 里的子文件

# rpm2cpio ../bash-4.3-83.23.1.x86_64.rpm | cpio -ivd

（补充：这里以提取 bash-4.3-83.23.1.x86_64.rpm RPM 文件 （安装包） 为例）

4.5 显示提取 RPM 文件 （安装包） 子文件后的目录

# ls
bin etc usr

4.6 在当前目录将提取的子文件拷贝到 /bin 目录

# cp -rpv bin/* /bin
'bin/bash' -> '/bin/bash'
'bin/sh' -> '/bin/sh'

# vim time_format_conversion.pl

创建以下内容：

s/(1\d{9})/localtime($1)/e

（补充：这里以创建名为 time_format_conversion.pl 的用于转换 audit 日志时间格式的脚本为例）

步骤二：转换 audit 日志时间格式

# cat /var/log/audit/audit.log | perl -p time_format_conversion.pl

或者：

# less /var/log/audit/audit.log | perl -p time_format_conversion.pl

或者：

# more /var/log/audit/audit.log | perl -p time_format_conversion.pl

或者：

# head /var/log/audit/audit.log | perl -p time_format_conversion.pl

或者：

# tail /var/log/audit/audit.log | perl -p time_format_conversion.pl

或者：

# tail -f /var/log/audit/audit.log | perl -p time_format_conversion.pl

（补充：这里以使用名为 time_format_conversion.pl 的用于转换 audit 日志时间格式的脚本为例）

1.1 dd 命令简介

dd 是 device driver 单词的缩写，主要用于读取内容并进行完整复制，甚至可以直接复制系统环境

1.2 dd 命令的选项

1) bs= 同时设置单次输入或单词输出的数据块 （block） 的大小为 个字节，此选项也可以使用 ibs 选项设置单次输入和 obs 选项来分别设置单词输出。
2) ibs= 设置单次输入的数据块 （block） 的大小为 个字节，默认为 512 字节
3) obs= 设置单次输出的数据块 （block） 的大小为 个字节，默认为 512 字节
4) count= 设置总共要复制的数据块数量为 N 个数量

1.3 可配合 dd 命令使用的文件

1) /dev/null 空设备，任何进入此文件的数据都会被删除，一般用于删除输出内容
2) /dev/zero 二进制的零流，可以连续不断地产生二进制零流，一般用于对设备和文件进行初始化
3) /dev/urandom 随机数流，可以连续不断地产生随机数流，一般用于清除机密数据，用随机的数据完全覆盖磁盘

内容二：dd 命令的案例

2.1 与分区相关的案例

2.1.1 案例一：备份分区

# dd if=/dev/sda1 of=/root/sda1_backup.img

（补充：这里以将分区 /dev/sda1 备份成文件 /root/sda1_backup.img 为例）

2.1.2 案例二：还原分区

# dd if=/root/sda1_backup.img of=/dev/sda1

（补充：这里以将文件 /root/sda1_backup.img 还原到分区 /dev/sda1 为例）

2.1.3 案例三：复制分区

# dd if=/dev/sda1 of=/dev/sda2

（补充：这里以将分区 /dev/sda1 复制到分区 /dev/sda2 为例）

2.2 与硬盘相关的案例

2.2.1 案例一：备份硬盘

# dd if=/dev/sda of=/root/sda_backup.img

（补充：这里以将硬盘 /dev/sda 备份成文件 /root/sda_backup.img 为例）

2.2.2 案例二：还原硬盘

# dd if=/root/sda_backup.img of=/dev/sda

（补充：这里以将文件 /root/sda_backup.img 还原到硬盘 /dev/sda1 为例）

2.2.3 案例三：复制硬盘

# dd if=/dev/sda of=/dev/sdb

（补充：这里以将硬盘 /dev/sda 复制到硬盘 /dev/sdb 为例）

2.3 与内存相关的案例

2.3.1 案例一：备份内存

# dd if=/dev/meme of=/root/mem_backup.img

（补充：这里以将内存备份成文件 /root/mem_backup.img 为例）

2.3.2 案例二：还原内存

# dd if=/root/mem_backup.img of=/dev/meme

（补充：这里以将文件 /root/mem_backup.img 还原到内存为例）

2.4 与软盘相关的案例

2.4.1 案例一：备份软盘

# dd if=/dev/fd0 of=/root/fd0_backup.img count=1 bs=1440k

（补充：这里以将软盘备份成文件 /root/fd0_backup.img 为例）

2.4.2 案例二：还原软盘

# dd if=/root/fd0_backup.img of=/dev/fd0 count=1 bs=1440k

（补充：这里以将文件 /root/fd0_backup.img 还原到软盘为例）

2.5 与光盘相关的案例

2.5.1 案例一：备份光盘

# dd if=/dev/cdrom of=/root/cd_backup.img

（补充：这里以将光盘备份成文件 /root/cd_backup.img 为例）

2.5.2 案例二：还原光盘

# dd if=/root/cd_backup.img of=/dev/cdrom

（补充：这里以将文件 /root/cd_backup.img 还原到光盘为例）

2.6 与预估硬盘性能相关的案例

2.6.1 案例一：预估硬盘写入性能

# dd if=/dev/zero bs=1024 count=1000000 of=/root/1GB.file

（补充：这里以生成 1 个 1 GB 大小的文件，根据生成时间判断文件大小为例）

2.6.2 案例二：预估硬盘读取性能

# dd if=/root/1GB.file bs=64k | dd of=/dev/null

（补充：这里以读取 1 个 1 GB 大小的文件，根据读取时间判断文件大小为例）

2.6.3 案例三：预估多大的块大小写入性能最佳

（分别执行以下命令）

# time dd if=/dev/zero bs=1024 count=1000000 of=/root/1GB.file

# time dd if=/dev/zero bs=2048 count=500000 of=/root/1GB.file

# time dd if=/dev/zero bs=4096 count=250000 of=/root/1GB.file

（补充：这里以分别生成 1024、2048 和 4096 块大小的 1 GB 大小的文件，根据生成时间判断多大的块大小写入性能最佳为例）

2.7 与清除机密数据相关的案例

# dd if=/dev/urandom of=/dev/sda

（补充：这里以清除硬盘 /dev/sda 上的机密数据为例）

1.1 在 audit 的策略里添加要监控的目录或文件

1.1.1 案例一：监控某个目录以及目录下的目录和文件

# vim /etc/audit/rules.d/audit.rules

添加以下内容：

......
-a exit,always -F dir=/tmp -F perm=rwxa

（补充：这里以监控目录 /tmp 里的目录和文件为例）

1.1.2 案例二：监控某个文件

# vim /etc/audit/rules.d/audit.rules

添加以下内容：

......
-a exit,always -S unlink -S unlinkat -S rmdir -S rename -S renameat -F path=/dev/null

（补充：这里以监控目录 /dev/null 文件为例）

1.2 让监控目录或文件的配置生效

# service auditd restart

步骤二：显示 audit 监控记录

# cat /var/log/audit

（
补充：记录里的
1) nametype=CREATE 字段代表创建
2) nametype=NORMAL 字段代表普通
3) nametype=DELETE 字段代表删除
）

或者：

# sudo ausearch -i -k user-modify

（补充：这里以显示文件被修改的记录为例）

1.1 tr 命令的格式

# tr <option> <section 1> <sectiong 2>

1.2 tr 命令的原理

将 <section 1> 里的内容替换成 <section 2> 里的内容

内容二：tr 命令的选项

1) -c 或者 –complement 改变除了某内容外的所有内容
2) -d 或者 –delete 删除某内容
3) -s 或者 –squeeze-repeats 将相临重复的某个字符缩减成 1 个
4) -t 或者 –truncate-set1 将 <section 1> 里的内容缩减成和 <section 2> 里的内容一样长

内容三：tr 命令的参数

1) \ 反斜杠
2) \b 退格
3) \f 换页
4) \n 换行
5) \r 回车
6) \t 水平制表符
7) \v 垂直制表符
8) <character 1>-<character 2> 从某个字符到另 1 个字符，例如：a-z、a-Z、0-9
9) [<character>*] 在 <section 2> 中可用，<character> 会复制得和 <section 1> 中一样长
10) [<character>*<frequency>] 将 <character> 复制 <frequency> 次，若以 0 开头，则视为八进制
11 [:alnum:] 所有字母和数字
12 [:alpha:] 所有字母
13 [:blank:] 所有呈水平排列的空白字符
14 [:cntrl:] 所有控制字符
15 [:digit:] 所有数字
16 [:graph:] 所有可打印字符，但不包括空格
17 [:lower:] 所有小写字母
18 [:print:] 所有可打印字符，包括空格
19 [:punct:] 所有标点字符
20 [:space:] 所有呈水平或垂直排列的空白字符
21 [:upper:] 所有大写字母
22 [:xdigit:] 所有十六进制数
23 [=字符=] 所有和指定字符相等的字符

内容三：tr 命令的案例

3.1 案例一：替换某内容外的所有内容

# echo 'zmyb' | tr -c zmy a
zmyaa

（补充：这里以将内容 zmyb 中 zmy 以外的内容替换成内容 a 为例）

（注意：zmyb 后面还有一个结尾符号，所以结果会多 1 个内容 a）

3.2 案例二：删除某内容

# echo 'zmy' | tr -d m
zy

（补充：这里以删除内容 zmy 中的内容 m 为例）

3.3 案例三：将相临重复的某个字符缩减成 1 个

# echo zmmy | tr -s m
zmy

（补充：这里以将内容 zmmy 中多个字符 m 压缩成 1 个为例）

3.4 案例四：替换字符，并将要匹配的内容缩减成和要替换的内容一样长

如果是正常情况：

zhumingyu@laptop:~/Test> echo abeabe | tr ab c
ccecce

（补充：这里以将内容 abeabe 中的内容 ab 替换成内容 c 为例）

如果是缩减的情况

zhumingyu@laptop:~/Test> echo abeabe | tr -t ab c
cbecbe

（补充：这里以将内容 abeabe 中的内容 a 替换成内容 c 为例）

（注意：这里 tr -t ab c 中内容 c 是 1 个字符，所以内容 ab 会被压缩成 1 个字符 a）

# lsof | more
COMMAND     PID   TID    USER   FD      TYPE             DEVICE  SIZE/OFF       NODE NAME
systemd       1          root  cwd       DIR              251,1      4096          1 /
......

内容二：lsof 命令输出结果简介

1) COMMAND 进程名
2) PID （Process Id） PID 号
3) USER 用户
4) FD 文件描述信息
（补充：cwd 代表当前目录，txt 代表 txt 文件，rtd 代表 root 目录，mem 代表内存映射文件）
5) TYPE 文件类型
（补充：DIR 代表当前目录，REG 代表普通文件，CHR 代表字符，a_inode 代表 Inode 文件，FIFO 代表管道或者 socket文件，netlink 代表网络，unkonwn 代表未知）
6) DEVICE 设备 ID
7) SIZE/OFF 进程大小
8) NODE 文件的 Inode 号
9) NAME 路径或链接

内容三：lsof 使用案例

3.1 案例一：显示已经被删除的文件

# lsof | grep deleted

3.2 案例二：显示用户已打开的案例

3.2.1 显示某用户已打开的文件

# lsof -u zhumingyu mingyuzhu

（补充：这里以显示用户 zhumingyu 和 mingyuzhu 已打开的文件为例）

3.2.2 不显示某用户已打开的文件

# lsof -u mingyuzhu

（补充：这里以不显示用户 mingyuzhu 已打开的文件为例）

3.3 案例三：显示进程已打开的文件

3.3.1 显示某进程已打开的文件

# lsof -p 1024

（补充：这里以显示 PID 号是 1024 已打开的文件为例）

3.3.2 不显示某进程已打开的所有文件

# lsof -p ^1024

（补充：这里以不显示 PID 号是 1024 已打开的文件为例）

3.3.3 显示某几个进程已打开的文件

# lsof -p 1,2,3

（补充：这里以显示 PID 号是 1、2 和 3 已打开的文件为例）

3.4 案例四：显示已打开的网络文件

3.4.1 显示所有已打开的网络文件

# lsof -i

3.4.2 显示所有 IPv4 协议已打开的文件

# lsof -i 4

3.4.3 显示所有 IPv6 协议已打开的文件

# lsof -i 6

3.4.4 显示所有 TCP 协议已打开的文件

# lsof -i TCP

3.4.5 显示所有 TCP 协议已打开的文件

# lsof -i UDP

3.4.6 显示某个 TCP 端口或者 UDP 端口已打开的文件

# lsof -i:22

（补充：这里以显示 TCP 或者 UPD 的 22 端口已打开的文件为例）

3.4.7 显示某个 TCP 端口已打开的文件

# lsof -i TCP:22

（补充：这里以显示 TCP 的 22 端口已打开的文件为例）

3.4.8 显示某几个 TCP 端口打开的文件

# lsof -i TCP:1-1024

（补充：这里以显示 TCP 的 1 端口到 1024 端口打开的文件为例）

1.1 压缩并创建 （压缩） 包 （文件） （不保留原文件）

1.1.1 压缩并创建 （压缩） 包 （某 1 个文件） （不保留原文件）

# xz -z <file>

（补充：压缩后的文件会以 xz 后缀结尾）

1.1.2 压缩并创建 （压缩） 包 （某几个文件） （不保留原文件）

# xz -z <file 1> <file 2> <file 3> ......

（补充：压缩后的文件会各自以 xz 后缀结尾）

1.2 压缩并创建 （压缩） 包 （文件） （保留原文件）

1.2.1 压缩并创建 （压缩） 包 （某 1 个文件） （保留原文件）

# xz -zk <file>

（补充：压缩后的文件会以 xz 后缀结尾）

1.2.2 压缩并创建 （压缩） 包 （某几个文件） （保留原文件）

# xz -zk <file 1> <file 2> <file 3> ......

（补充：压缩后的文件会各自以 xz 后缀结尾）

内容二：解压 （压缩） 包

2.1 解压 （压缩） 包 （不保留原文件）

2.1.1 解压 （压缩） 包 （某 1 个 （压缩） 包） （不保留原 （压缩） 包）

# xz -d <(compressed) package>

（注意：可以用 xz 命令解压的压缩包会以 xz 后缀结尾）

2.1.2 解压 （压缩） 包 （某几个 （压缩） 包） （不保留原 （压缩） 包）

# xz -d <(compressed) package 1> <(compressed) package 2> <(compressed) package 3> ......

（补充：解压后的文件会各自去掉 xz 后缀）

（注意：可以用 xz 命令解压的压缩包会以 xz 后缀结尾）

2.2 解压 （压缩） 包 （保留原文件）

2.2.1 解压 （压缩） 包 （某 1 个 （压缩） 包） （保留原文件）

# xz -dk <(compressed) package>

（注意：可以用 xz 命令解压的压缩包会以 xz 后缀结尾）

2.2.2 解压 （压缩） 包 （某几个 （压缩） 包） （保留原文件）

# xz -dk <(compressed) package 1> <(compressed) package 2> <(compressed) package 3> ......

（补充：解压后的文件会各自去掉 xz 后缀）

（注意：可以用 xz 命令解压的压缩包会以 xz 后缀结尾）

# mount -o remount,nosuid,nodev,noexec /dev/shm

（补充：这里以带 nosuid、nodev 和 noexec 参数重新挂载 /dev/shm 目录为例）

内容二：开机自动重新挂载目录

# vim /etc/fstab

添加以下内容：

......
tmpfs /dev/shm tmpfs defaults,nosuid,nodev,noexec 0 0

（补充：这里以带 nosuid、nodev 和 noexec 参数重新挂载 /dev/shm 目录为例）

# cat /etc/group

（注意：此方法并不能显示出把这些所属组当作主要所属组的用户）

方法二：通过 /etc/passwd 配置文件和 id 命令等显示主要所属组和附属所属组

# for i in `cat /etc/passwd | egrep -v "nologin$|false$|half|sync|shutdown|halt" | awk -F: '{print $1}'`; do id $i; done | sort -k2

（补充：可以通过肉眼比对此命令的输出结果来判断其主要所属组和附属所属组）

1.1 修改 /etc/sysctl.conf 文件

# vim /etc/sysctl.conf

添加以下内容：

......
fs.protected_hardlinks = 1
fs.protected_symlinks = 1

1.2 设置系统正在运行的 fs.protected_symlinks 参数和 fs.protected_hardlinks 参数

# sysctl -w fs.protected_symlinks = 1
# sysctl -w fs.protected_hardlinks = 1

步骤二：显示软硬链接保护的开启状态

2.1 显示 /etc/sysctl.conf 文件里的 fs.protected_symlinks 参数和 fs.protected_hardlinks 参数

# grep "fs\.protected_hardlinks" /etc/sysctl.conf /etc/sysctl.d/*
fs.protected_hardlinks = 1

# grep "fs\.protected_symlinks" /etc/sysctl.conf /etc/sysctl.d/*
fs.protected_symlinks = 1

2.2 显示系统正在运行的 fs.protected_symlinks 参数和 fs.protected_hardlinks 参数

# sysctl fs.protected_symlinks
fs.protected_symlinks = 1
# sysctl fs.protected_hardlinks
fs.protected_hardlinks = 1

gzip: .......xz: unknown suffix -- ignored

解决方法

# xz -d <file>

tar: This does not look like a tar archive
tar: Skipping to next header
tar: Error exit delayed from previous errors

解决方法

# gzip -d <file>

或者：

# xz -d <file>

# cat test.txt 
a1
b2
c3
a1
d2
e3
a1
c3

# sort test.txt  | uniq
a1
b2
c3
d2
e3

（补充：这里以给 test.txt 文件里的字符为例）

案例二：uniq 只显示重复的行

# cat test.txt 
a1
b2
c3
a1
d2
e3
a1
c3

# sort test.txt  | uniq -d
a1
c3

（补充：这里以只显示 test.txt 文件里重复的行为例）

案例三：uniq 只显示不重复的行

# cat test.txt 
a1
b2
c3
a1
d2
e3
a1
c3

# sort test.txt  | uniq -u
b2
d2
e3

（补充：这里以只显示 test.txt 文件里不重复的行为例）

案例四：显示每个字符出现的次数

# cat test.txt 
a1
b2
c3
a1
d2
e3
a1
c3

# sort test.txt  | uniq -c
      3 a1
      1 b2
      2 c3
      1 d2
      1 e3

（补充：这里以显示 test.txt 每个字符出现的次数为例）

# touch test.txt

（补充：这里以创建 test.txt 文件为例）

步骤二：加密压缩文件或目录

2.1 交互式加密压缩文件或目录

# tar -zcf - test.txt | openssl des3 -salt | dd of=test1.tar.gz
enter des-ede3-cbc encryption password:
Verifying - enter des-ede3-cbc encryption password:
*** WARNING : deprecated key derivation used.
Using -iter or -pbkdf2 would be better.
0+1 records in
0+1 records out
224 bytes copied, 7.04902 s, 0.0 kB/s

（
补充：
1) 这里以将 test.txt 文件加密压缩成 test1.tar.gz （压缩）包为例
2) 如果要以 bzip2 的格式进行压缩，则将命令中的 -zcf 换成 -jcvf 将 test1.tar.gz 换成 test1.tar.bz2
3) 如果要以 xz 的格式进行压缩，则将命令中的 -zcf 换成 -Jcvf 将 test1.tar.gz 换成 test1.tar.xz
）

2.2 非交互式加密压缩文件或目录

# tar -zcf - test.txt | openssl des3 -salt -f eternalcenter | dd of=test2.tar.gz
des3: Unrecognized flag f
des3: Use -help for summary.
0+0 records in
0+0 records out
0 bytes copied, 0.00376576 s, 0.0 kB/s

（
补充：
1) 这里以将 test.txt 文件加密压缩成 test1.tar.gz （压缩）包并且将密码设置为 eternalcenter 为例
2) 如果要以 bzip2 的格式进行压缩，则将命令中的 -zcf 换成 -jcvf 将 test1.tar.gz 换成 test2.tar.bz2
3) 如果要以 xz 的格式进行压缩，则将命令中的 -zcf 换成 -Jcvf 将 test1.tar.gz 换成 test2.tar.xz
）

步骤三：解压加密文件或目录

3.1 交互式解压加密文件或目录

3.1.1 删除原测试目录和里面的文件

# rm -rf test.txt

（补充：这里以删除 test.txt 文件为例）

3.1.2 交互式解压加密文件或目录

# dd if=test2.tar.gz | openssl des3 -d | tar zxf -
0+1 records in
0+1 records out
224 bytes copied, 0.000589721 s, 380 kB/s
enter des-ede3-cbc decryption password:
*** WARNING : deprecated key derivation used.
Using -iter or -pbkdf2 would be better.

（
补充：
1) 这里以解压 test2.tar.gz （压缩）包为例
2) 如果是 bzip2 格式的（压缩）包，则将命令中的 -zxf 换成 -jcvf 将 test1.tar.gz 换成 test1.tar.bz2
3) 如果是 xz 格式的（压缩）包，则将命令中的 -zxf 换成 -Jcvf 将 test1.tar.gz 换成 test1.tar.xz
）

3.2 非交互式解压加密文件或目录

3.2.1 删除原测试目录和里面的文件

# rm -rf test.txt

（补充：这里以删除 test.txt 文件为例）

3.2.2 非交互式解压加密文件或目录

# dd if=test1.tar.gz | openssl des3 -d -k eternalcenter | tar zxf -
0+1 records in
0+1 records out
224 bytes copied, 0.000574539 s, 390 kB/s
*** WARNING : deprecated key derivation used.
Using -iter or -pbkdf2 would be better.

（
补充：
1) 这里以解压 test1.tar.gz （压缩）包并且解压密码为 eternalcenter 为例
2) 如果是 bzip2 格式的（压缩）包，则将命令中的 -zxf 换成 -jcvf 将 test1.tar.gz 换成 test1.tar.bz2
3) 如果是 xz 格式的（压缩）包，则将命令中的 -zxf 换成 -Jcvf 将 test1.tar.gz 换成 test1.tar.xz
）

# mkdir test
# touch test/test.txt

（补充：这里以创建 test 目录和里面的 test.txt 文件为例）

步骤二：加密压缩文件或目录

2.1 交互式加密压缩文件或目录

# zip -re test1.zip test
Enter password: 
Verify password: 
  adding: test/ (stored 0%)
  adding: test/test.txt (stored 0%)

（补充：这里以将 test 目录和里面的 test.txt 文件加密压缩成 test1.zip （压缩）包为例）

2.2 非交互式加密解压文件或目录

# zip -rP eternalcenter test2.zip test
  adding: test/ (stored 0%)
  adding: test/test.txt (stored 0%)

（补充：这里以将 test 目录和里面的 test.txt 文件加密压缩成 test2.zip （压缩）包并且将密码设置为 eternalcenter 为例）

步骤三：解压加密文件或目录

3.1 交互式解压加密文件或目录

3.1.1 删除原测试目录和里面的文件

# rm -rf test

（补充：这里以删除 test 目录和里面的文件为例）

3.1.2 交互式解压加密文件或目录

# unzip test2.zip
Archive:  test2.zip
   creating: test/
[test2.zip] test/test.txt password: 
 extracting: test/test.txt

（补充：这里以解压 test2.zip （压缩）包为例）

3.2 非交互式解压加密文件或目录

3.2.1 删除原测试目录和里面的文件

# rm -rf test

（补充：这里以删除 test 目录和里面的文件为例）

3.2.2 非交互式解压加密文件

# unzip -P eternalcenter test1.zip 
Archive:  test1.zip
   creating: test/
 extracting: test/test.txt  

（补充：这里以解压 test2.zip （压缩）包并且解压密码为 eternalcenter 为例）

# cp /usr/bin/rm  /usr/bin/rm.original

步骤二：创建一个记录 rm 命令使用的脚本

# cat /usr/bin/rm
#!/bin/bash
log=/var/log/rm_command.log
echo "The $$ is calling rm command" >> $log
echo "The full command is $*" >> $log
echo
echo "now use this command to get more information: /bin/ps axwwo user,pid,ppid,%cpu,%mem,vsz,rss,stat,time,cmd" >>$log
/bin/ps axwwo user,pid,ppid,%cpu,%mem,vsz,rss,stat,time,cmd >>$log
/usr/bin/rm.original $*
echo "============================================================" >>$log

步骤三：给记录 rm 命令使用的脚本执行权限

# chmod 755 /usr/bin/rm.original

步骤四：下次使用 rm 命令后就可以监控 /var/log/rm_command.log 日志了

（步骤略）