1.检查系统是否安装audit服务
service auditd status
2.安装命令
sudo apt-get install auditd
审计规则
auditctl -w /etc/passwd -p rwxa(注意:用 auditd 添加审计规则是临时的,立即生效,但是系统重启失效。)
-w path : 指定要监控的路径,上面的命令指定了监控的文件路径 /etc/passwd
-p : 指定触发审计的文件/目录的访问权限
-k 给当前这条监控规则起个名字,方便搜索过滤
rwxa : 指定的触发条件,r 读取权限,w 写入权限,x 执行权限,a 属性(attr)
3.配置审计规则
进入/etc/audit/rules.d/audit.rules配置
添加规则:
-w /etc/group -p rwxa
-w /etc/passwd -p rwxa
-w /var/log/lastlog -p rwxa
-w /var/run/faillock/ -p rwxa
4.重启服务
service auditd restart
5.查看审计规则
auditctl -l
日志文件目录
/var/log/audit/audit.log
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)