나는 이것을 알아 내려고 노력해 왔으며 실제로는 말처럼 쉽지 않은 상황인 것 같습니다. 현재 오류, 로그온 실패, 누가 언제 무엇에 액세스했는지 등을 보내는 서버를 설정하고 있습니다....
사용자가 권한을 변경하려고 시도하는 경우 사용자를 추적할 수 있는 방법을 찾으려고 노력 중입니다. Bob이 'chmod 777'을 실행했지만 해당 파일을 변경할 권한이 없다고 가정해 보겠습니다. 따라서 시스템이 그에게 그렇게 할 수 없다고 말하는 대신, 시도가 있었다는 것을 알 수 있는 오류도 반환합니다. 해당 오류를 기록하려면 어떻게 해야 하며(아직 기록되지 않은 경우) 해당 위치는 어디에 저장됩니까? /var/로그/메시지? 아니면 이것이 내가 원하는 대로 작동하려면 auditctl 규칙을 설정해야 합니까? 미리 감사드립니다.
답변1
에서 man auditctl:
To watch a file for changes (2 ways to express):
auditctl -w /etc/shadow -p wa
auditctl -a always,exit -F path=/etc/shadow -F perm=wa
- -w: 경로(예: /etc/shadow)에 파일 시스템 개체에 대한 감시를 삽입합니다.
- -p: 파일 시스템 감시에 대한 권한 필터를 설정합니다. w=쓰기, x=실행, a=속성 변경.
를 사용하여 이러한 이벤트에 대한 감사 로그를 검색하는 데 도움이 되는 -k를 추가할 수도 있습니다 ausearch.
- -k: 감사 규칙에 필터 키를 설정합니다. 필터 키는 최대 31바이트 길이의 임의 텍스트 문자열입니다. 규칙에 의해 생성된 감사 레코드를 고유하게 식별할 수 있습니다.
/etc/audit/audit.rules이 규칙은 실제로 영구적으로 적용되어야 합니다 . auditd활성화하고 시작해야 합니다( systemctl enable auditd.service및 systemctl start auditd.service).
자세한 내용은 여기에서 확인하실 수 있습니다.Red Hat 솔루션 기사. CentOS를 실행 중이므로 여기의 세부정보가 직접 적용됩니다.