auditctl -w /etc/hosts -p war -k monitor-hosts

Question 1

Use o pacote audit para realizar esta tarefa.
Certifique-se de que o serviço auditd esteja em execução e configure para iniciar na inicialização chkconfig auditd em
Defina uma observação no arquivo necessário a ser monitorado usando o comando auditctl:
```
auditctl -w /home/folder1 -p war -k monitor-folder1
```

Aquilo é:

auditctl: o comando usado para adicionar entradas ao banco de dados de auditoria.
-w: Insere um watch para o objeto do sistema de arquivos no caminho, ou seja, /etc/shadow.
-p: Defina o filtro de permissões para uma observação do sistema de arquivos. r=ler, w=escrever, x=executar, a=alteração de atributo.
-k: Defina uma chave de filtro em uma regra de auditoria. A chave de filtro é uma sequência arbitrária de texto que pode ter até 31 bytes de comprimento. Ele pode identificar exclusivamente os registros de auditoria produzidos por uma regra.

Para observação permanente, você deve adicionar sua regra a /etc/audit/audit.rules no RHEL5 ou RHEL6 ou RHEL7 ou Centos 7 (ou /etc/audit.rules no RHEL4) para que persistam após a reinicialização.

Para mais detalhes siga o link

https://access.redhat.com/solutions/10107

Answer

Use o pacote audit para realizar esta tarefa.
Certifique-se de que o serviço auditd esteja em execução e configure para iniciar na inicialização chkconfig auditd em
Defina uma observação no arquivo necessário a ser monitorado usando o comando auditctl:
```
auditctl -w /home/folder1 -p war -k monitor-folder1
```

Aquilo é:

auditctl: o comando usado para adicionar entradas ao banco de dados de auditoria.
-w: Insere um watch para o objeto do sistema de arquivos no caminho, ou seja, /etc/shadow.
-p: Defina o filtro de permissões para uma observação do sistema de arquivos. r=ler, w=escrever, x=executar, a=alteração de atributo.
-k: Defina uma chave de filtro em uma regra de auditoria. A chave de filtro é uma sequência arbitrária de texto que pode ter até 31 bytes de comprimento. Ele pode identificar exclusivamente os registros de auditoria produzidos por uma regra.

Para observação permanente, você deve adicionar sua regra a /etc/audit/audit.rules no RHEL5 ou RHEL6 ou RHEL7 ou Centos 7 (ou /etc/audit.rules no RHEL4) para que persistam após a reinicialização.

Para mais detalhes siga o link

https://access.redhat.com/solutions/10107

Question 2

No RHEL/CENTOS: você pode monitorar as alterações de permissão conforme abaixo:

Use o auditpacote para realizar esta tarefa.

Certifique-se de que auditd serviceesteja em execução e configure para iniciar boot chkconfig auditdem

Defina uma observação no arquivo necessário a ser monitorado usando o auditctlcomando:

Cru

`auditctl -w /etc/hosts -p war -k monitor-hosts`

Aquilo é:

auditctl: o comando usado para adicionar entradas ao banco de dados de auditoria.

-c: Insira um watch para o objeto do sistema de arquivos no caminho, ou seja, /etc/shadow.

-p: defina o filtro de permissões para uma observação do sistema de arquivos. r=ler, w=escrever, x=executar, a=alteração de atributo.

-k: defina uma chave de filtro em uma regra de auditoria. A chave de filtro é uma sequência arbitrária de texto que pode ter até 31 bytes de comprimento. Ele pode identificar exclusivamente os registros de auditoria produzidos por uma regra.

Observe que você deve adicionar sua regra a /etc/audit/audit.rules

Answer

No RHEL/CENTOS: você pode monitorar as alterações de permissão conforme abaixo:

Use o auditpacote para realizar esta tarefa.

Certifique-se de que auditd serviceesteja em execução e configure para iniciar boot chkconfig auditdem

Defina uma observação no arquivo necessário a ser monitorado usando o auditctlcomando:

Cru

`auditctl -w /etc/hosts -p war -k monitor-hosts`

Aquilo é:

auditctl: o comando usado para adicionar entradas ao banco de dados de auditoria.

-c: Insira um watch para o objeto do sistema de arquivos no caminho, ou seja, /etc/shadow.

-p: defina o filtro de permissões para uma observação do sistema de arquivos. r=ler, w=escrever, x=executar, a=alteração de atributo.

-k: defina uma chave de filtro em uma regra de auditoria. A chave de filtro é uma sequência arbitrária de texto que pode ter até 31 bytes de comprimento. Ele pode identificar exclusivamente os registros de auditoria produzidos por uma regra.

Observe que você deve adicionar sua regra a /etc/audit/audit.rules

auditctl -w /etc/hosts -p war -k monitor-hosts

Responder1

Responder2

`auditctl -w /etc/hosts -p war -k monitor-hosts`

informação relacionada