/home/Code/TopSecret예를 들어 Bob이 다음과 같은 항목에 액세스하려고 하면 시스템은 허가 없이는 그가 여기에 액세스하는 것을 허용하지 않습니다. 이러한 시도에 대해 알고 싶습니다.
을 수정하여 이러한 시도를 모니터링하고 볼 수 있는 방법이 있습니까 auditctl? 아니면 이미 모니터링되고 있는 경우 이러한 시도를 어디서 볼 수 있나요?
미리 감사드립니다.
답변1
~/.bash_history모든 사용자에 대해 구문 분석을 시도할 수 있습니다 .grep -e "$pattern" /home/*/.bash_history
sudo 명령을 보려면: tail /var/log/secure | grep username또는tail /var/log/secure | grep "$pattern"
생각한 대로 다음을 사용하여 경로에 대한 액세스를 추적할 수 있습니다.auditctl. 내 테스트 시스템 중 하나를 사용해 보았더니 꽤 잘 작동했고 매뉴얼 페이지에서도 직접 확인할 수 있었습니다.
auditctl -w "$path" -a exit,always -S open -F success=0
이번에도 audit.log를 다음과 같이 구문 분석해야 합니다.grep "$pathoffileorfolder" /var/log/audit/audit.log
그것은 배포판과 함께 제공되지 않는 것을 설치하지 않고 내가 사용할 것에 관한 것입니다.