Я пытался разобраться с этим, и, похоже, это легче сказать, чем сделать. В настоящее время я настраиваю сервер, который отправляет ошибки, неудачные попытки входа, кто и когда получал доступ к чему и т. д.
Я пытаюсь выяснить, как я могу отслеживать пользователя, если он попытается изменить разрешение. Допустим, Боб запускает «chmod 777», но у него нет разрешения на изменение указанного файла. Поэтому вместо того, чтобы система сказала ему, что он не может этого сделать, она также выдает ошибку, которую я вижу, что была предпринята попытка. Как мне сделать так, чтобы эта ошибка была зарегистрирована (если она еще не зарегистрирована) и где это место будет храниться? /var/log/messages? ИЛИ мне нужно будет настроить правило Auditctl, чтобы это работало так, как я хочу? Заранее спасибо всем
решение1
От man auditctl:
To watch a file for changes (2 ways to express):
auditctl -w /etc/shadow -p wa
auditctl -a always,exit -F path=/etc/shadow -F perm=wa
- -w: Вставить наблюдение за объектом файловой системы по пути, например /etc/shadow.
- -p: Установить фильтр прав доступа для наблюдения за файловой системой. w=запись, x=выполнение, a=изменение атрибута.
Вы также можете добавить -k, что поможет выполнить поиск этих событий в журналах аудита с помощью ausearch.
- -k: Установить ключ фильтра для правила аудита. Ключ фильтра — это произвольная строка текста длиной до 31 байта. Он может однозначно идентифицировать записи аудита, созданные правилом.
Правило фактически необходимо будет установить, /etc/audit/audit.rulesчтобы оно стало постоянным. auditdего также необходимо будет включить и запустить ( systemctl enable auditd.serviceи systemctl start auditd.service).
Более подробную информацию вы можете найти здесьСтатья о решении Red Hat. Вы используете CentOS, поэтому приведенные здесь сведения по-прежнему будут иметь непосредственное отношение к вам.