auditctl -w /etc/hosts -p war -k monitor-hosts

Question 1

Verwenden Sie zum Ausführen dieser Aufgabe das Prüfpaket.
Stellen Sie sicher, dass der auditd-Dienst ausgeführt wird, und richten Sie ihn so ein, dass er beim Booten gestartet wird: chkconfig auditd on
Richten Sie mit dem Befehl auditctl eine Überwachung für die gewünschte Datei ein:
```
auditctl -w /home/folder1 -p war -k monitor-folder1
```

Das ist:

auditctl: der Befehl zum Hinzufügen von Einträgen zur Audit-Datenbank.
-w: Fügt eine Überwachung für das Dateisystemobjekt am Pfad ein, z. B. /etc/shadow.
-p: Berechtigungsfilter für eine Dateisystemüberwachung festlegen. r=lesen, w=schreiben, x=ausführen, a=Attributänderung.
-k: Setzt einen Filterschlüssel für eine Audit-Regel. Der Filterschlüssel ist eine beliebige Textzeichenfolge, die bis zu 31 Byte lang sein kann. Er kann die von einer Regel erzeugten Audit-Datensätze eindeutig identifizieren.

Für die permanente Überwachung müssen Sie Ihre Regel zu /etc/audit/audit.rules auf RHEL5 oder RHEL6 oder RHEL7 oder Centos 7 (oder /etc/audit.rules auf RHEL4) hinzufügen, damit sie nach dem Neustart bestehen bleibt.

Für weitere Einzelheiten folgen Sie dem Link

https://access.redhat.com/solutions/10107

Answer

Verwenden Sie zum Ausführen dieser Aufgabe das Prüfpaket.
Stellen Sie sicher, dass der auditd-Dienst ausgeführt wird, und richten Sie ihn so ein, dass er beim Booten gestartet wird: chkconfig auditd on
Richten Sie mit dem Befehl auditctl eine Überwachung für die gewünschte Datei ein:
```
auditctl -w /home/folder1 -p war -k monitor-folder1
```

Das ist:

auditctl: der Befehl zum Hinzufügen von Einträgen zur Audit-Datenbank.
-w: Fügt eine Überwachung für das Dateisystemobjekt am Pfad ein, z. B. /etc/shadow.
-p: Berechtigungsfilter für eine Dateisystemüberwachung festlegen. r=lesen, w=schreiben, x=ausführen, a=Attributänderung.
-k: Setzt einen Filterschlüssel für eine Audit-Regel. Der Filterschlüssel ist eine beliebige Textzeichenfolge, die bis zu 31 Byte lang sein kann. Er kann die von einer Regel erzeugten Audit-Datensätze eindeutig identifizieren.

Für die permanente Überwachung müssen Sie Ihre Regel zu /etc/audit/audit.rules auf RHEL5 oder RHEL6 oder RHEL7 oder Centos 7 (oder /etc/audit.rules auf RHEL4) hinzufügen, damit sie nach dem Neustart bestehen bleibt.

Für weitere Einzelheiten folgen Sie dem Link

https://access.redhat.com/solutions/10107

Question 2

In RHEL/CENTOS: Sie können Berechtigungsänderungen wie folgt überwachen:

Verwenden Sie das auditPaket, um diese Aufgabe auszuführen.

Stellen Sie sicher, dass der auditd serviceläuft, und stellen Sie ihn so ein, dass er boot chkconfig auditdam startet

Richten Sie mit dem folgenden auditctlBefehl eine Überwachung für die gewünschte Datei ein:

Roh

`auditctl -w /etc/hosts -p war -k monitor-hosts`

Das ist:

auditctl: der Befehl zum Hinzufügen von Einträgen zur Audit-Datenbank.

-w: Fügen Sie eine Überwachung für das Dateisystemobjekt am Pfad ein, z. B. /etc/shadow.

-P: Legen Sie einen Berechtigungsfilter für eine Dateisystemüberwachung fest. r=lesen, w=schreiben, x=ausführen, a=Attributänderung.

-k: Legen Sie einen Filterschlüssel für eine Prüfregel fest. Der Filterschlüssel ist eine beliebige Textzeichenfolge, die bis zu 31 Byte lang sein kann. Er kann die von einer Regel erstellten Prüfdatensätze eindeutig identifizieren.

Beachten Sie, dass Sie Ihre Regel zu /etc/audit/audit.rules hinzufügen müssen.

Answer

In RHEL/CENTOS: Sie können Berechtigungsänderungen wie folgt überwachen:

Verwenden Sie das auditPaket, um diese Aufgabe auszuführen.

Stellen Sie sicher, dass der auditd serviceläuft, und stellen Sie ihn so ein, dass er boot chkconfig auditdam startet

Richten Sie mit dem folgenden auditctlBefehl eine Überwachung für die gewünschte Datei ein:

Roh

`auditctl -w /etc/hosts -p war -k monitor-hosts`

Das ist:

auditctl: der Befehl zum Hinzufügen von Einträgen zur Audit-Datenbank.

-w: Fügen Sie eine Überwachung für das Dateisystemobjekt am Pfad ein, z. B. /etc/shadow.

-P: Legen Sie einen Berechtigungsfilter für eine Dateisystemüberwachung fest. r=lesen, w=schreiben, x=ausführen, a=Attributänderung.

-k: Legen Sie einen Filterschlüssel für eine Prüfregel fest. Der Filterschlüssel ist eine beliebige Textzeichenfolge, die bis zu 31 Byte lang sein kann. Er kann die von einer Regel erstellten Prüfdatensätze eindeutig identifizieren.

Beachten Sie, dass Sie Ihre Regel zu /etc/audit/audit.rules hinzufügen müssen.

auditctl -w /etc/hosts -p war -k monitor-hosts

Antwort1

Antwort2

`auditctl -w /etc/hosts -p war -k monitor-hosts`

verwandte Informationen