• Для выполнения этой задачи используйте пакет аудита.

• Убедитесь, что служба Auditd запущена и настроена на запуск при загрузке chkconfig Auditd on

• Установите наблюдение за требуемым файлом, используя команду auditctl:

  auditctl -w /home/folder1 -p war -k monitor-folder1
  

То есть:

• auditctl: команда, используемая для добавления записей в базу данных аудита.
• -w: Вставить наблюдение за объектом файловой системы по пути, например /etc/shadow.
• -p: Установить фильтр прав доступа для наблюдения за файловой системой. r=чтение, w=запись, x=выполнение, a=изменение атрибута.
• -k: Установить ключ фильтра для правила аудита. Ключ фильтра — это произвольная строка текста длиной до 31 байта. Он может однозначно идентифицировать записи аудита, созданные правилом.

Для постоянного наблюдения необходимо добавить правило в /etc/audit/audit.rules на RHEL5, RHEL6, RHEL7 или Centos 7 (или /etc/audit.rules на RHEL4), чтобы они сохранились после перезагрузки.

Для более подробной информации перейдите по ссылке

https://access.redhat.com/solutions/10107

В RHEL/CENTOS: Вы можете отслеживать изменения разрешений следующим образом:

Используйте auditпакет для выполнения этой задачи.

Убедитесь, что auditd serviceзапущен, и установите для boot chkconfig auditdзапуска

Установите наблюдение за требуемым файлом, используя команду auditctl:

Сырой

auditctl -w /etc/hosts -p war -k monitor-hosts

То есть:

auditctl: команда, используемая для добавления записей в базу данных аудита.

-в: Вставьте наблюдение за объектом файловой системы по пути, например /etc/shadow.

-п: Установить фильтр разрешений для наблюдения за файловой системой. r=чтение, w=запись, x=выполнение, a=изменение атрибута.

-к: Установить ключ фильтра для правила аудита. Ключ фильтра — это произвольная строка текста длиной до 31 байта. Он может однозначно идентифицировать записи аудита, созданные правилом.

Обратите внимание, что вам необходимо добавить свое правило в /etc/audit/audit.rules