linux-hidden-files
리눅스 시스템의 /tmp, /dev, /home 디렉터리와 하위 디렉터리를 탐색하여 이름이 .(마침표)으로 시작하는 숨겨진 파일 및 디렉터리 목록을 조회합니다. 포렌식 분석 시 공격자가 숨긴 파일을 탐지하는 데 활용할 수 있습니다.
명령어 속성
| 항목 | 설명 |
|---|---|
| 명령어 유형 | 드라이버 쿼리 |
| 필요 권한 | 클러스터 관리자 |
| 라이선스 사용량 | 집계함 |
| 병렬 실행 | 미지원 |
| 분산 실행 | 수집 노드에서 실행 (mapper) |
문법
출력 필드
| 필드 | 타입 | 설명 |
|---|---|---|
file_path | 문자열 | 파일의 절대 경로 |
file_name | 문자열 | 파일 이름 |
file_type | 문자열 | 파일 유형. file: 일반 파일, directory: 디렉터리 |
permissions | 문자열 | POSIX 파일 권한 문자열 (예: rwxr-xr-x). 권한을 읽을 수 없으면 null |
file_size | 64비트 정수 | 파일 크기 (바이트) |
file_ctime | 날짜 | 파일 생성 시각 |
file_mtime | 날짜 | 파일 최종 수정 시각 |
file_atime | 날짜 | 파일 최종 접근 시각 |
owner_read | 불리언 | 소유자 읽기 권한 여부 |
owner_write | 불리언 | 소유자 쓰기 권한 여부 |
owner_execute | 불리언 | 소유자 실행 권한 여부 |
group_read | 불리언 | 그룹 읽기 권한 여부 |
group_write | 불리언 | 그룹 쓰기 권한 여부 |
group_execute | 불리언 | 그룹 실행 권한 여부 |
others_read | 불리언 | 기타 읽기 권한 여부 |
others_write | 불리언 | 기타 쓰기 권한 여부 |
others_execute | 불리언 | 기타 실행 권한 여부 |
오류 코드
파싱 오류
| 오류 코드 | 메시지 | 설명 |
|---|---|---|
95040 | no-read-permission | 관리자 권한 없이 실행한 경우 |
런타임 오류
해당 사항 없음
설명
linux-hidden-files 명령어는 /tmp, /dev, /home 디렉터리를 재귀적으로 탐색하여 파일 이름이 .으로 시작하는 숨겨진 파일과 디렉터리를 찾습니다. 발견된 각 항목에 대해 파일 경로, 크기, 시각 정보, POSIX 파일 권한 등의 메타데이터를 수집하여 출력 필드에 할당합니다.
심볼릭 링크를 따라가며 파일 속성을 읽습니다. 파일 방문에 실패한 경우(권한 부족 등) 해당 파일을 건너뛰고 탐색을 계속합니다.
이 명령어는 관리자 권한이 필요하며, 권한이 없으면 파싱 단계에서 오류가 발생합니다.
이 명령어는 4.0.2511.0 버전부터 클러스터 관리자 권한이 필요하며, 접근 가능한 파일 경로가 제한됩니다. 자세한 내용은 파일 접근 제한을 참고하세요.
사용 예
각 사용 예의 파일 경로는 ALLOWED_FILE_SCAN_PATHS 설정에 포함되어 있다고 가정합니다.
-
숨겨진 파일 목록 조회
linux-hidden-files/tmp,/dev,/home디렉터리에서 이름이.으로 시작하는 모든 숨겨진 파일과 디렉터리를 조회합니다. -
실행 권한이 있는 숨겨진 파일 필터링
linux-hidden-files | search file_type == "file" and owner_execute == true숨겨진 파일 중 소유자에게 실행 권한이 부여된 파일만 필터링합니다.
-
최근 수정된 숨겨진 파일 조회
linux-hidden-files | search file_mtime >= ago("7d") | sort -file_mtime최근 7일 이내에 수정된 숨겨진 파일을 수정 시각 기준으로 내림차순 정렬하여 조회합니다.
호환성
linux-hidden-files 명령어는 소나 4.0 이전 버전부터 제공되었습니다. 4.0.2511.0 버전부터 클러스터 관리자 권한이 필요합니다.