何らかの理由で、フォルダー /home/folder1 の権限が変更されることがあります。権限を変更しているユーザーを確認するにはどうすればよいでしょうか。または、フォルダーに対してこのオプションを無効にするにはどうすればよいでしょうか。
Linux ディストリビューション CentOS Linux リリース 7.2.1511 (Core)
答え1
このタスクを実行するには、監査パッケージを使用します。
監査サービスが実行中であることを確認し、起動時に開始するように設定してください。chkconfig 監査 on
監視対象の必要なファイルにウォッチを設定するには、auditctl コマンドを使用します。
auditctl -w /home/folder1 -p war -k monitor-folder1
あれは:
- Auditctl: 監査データベースにエントリを追加するために使用されるコマンド。
- -w: パス (/etc/shadow など) のファイル システム オブジェクトのウォッチを挿入します。
- -p: ファイル システム監視の権限フィルターを設定します。r=読み取り、w=書き込み、x=実行、a=属性変更。
- -k: 監査ルールにフィルター キーを設定します。フィルター キーは、最大 31 バイトの任意のテキスト文字列です。これにより、ルールによって生成された監査レコードを一意に識別できます。
永続的な監視の場合、再起動後もルールが維持されるように、RHEL5 または RHEL6 または RHEL7 または Centos 7 の /etc/audit/audit.rules (または RHEL4 の /etc/audit.rules) にルールを追加する必要があります。
詳細はリンクをご覧ください
答え2
RHEL/CENTOS の場合: 以下のように権限の変更を監視できます。
このタスクを実行するにはパッケージを使用しますaudit。
がauditd service実行中であることを確認し、開始するように設定してboot chkconfig auditdください
次のコマンドを使用して、監視対象の必要なファイルにウォッチを設定しますauditctl。
生
auditctl -w /etc/hosts -p war -k monitor-hosts
あれは:
Auditctl: 監査データベースにエントリを追加するために使用されるコマンド。
-w: パス (/etc/shadow など) のファイル システム オブジェクトのウォッチを挿入します。
-p: ファイル システム監視の権限フィルターを設定します。r=読み取り、w=書き込み、x=実行、a=属性変更。
-k: 監査ルールにフィルター キーを設定します。フィルター キーは、最大 31 バイトの任意のテキスト文字列です。これにより、ルールによって生成された監査レコードを一意に識別できます。
ルールを/etc/audit/audit.rulesに追加する必要があることに注意してください。