由於任何原因,有時資料夾 /home/folder1 的權限會改變。我如何知道誰在更改權限?或者更好的是如何停用該資料夾的此選項?
Linux 發行版 CentOS Linux 版本 7.2.1511(核心)
答案1
使用審計包來完成此任務。
確保auditd服務正在運行,並設定為開機啟動 chkconfigauditdon
使用auditctl指令對要監視的所需檔案設定監視:
auditctl -w /home/folder1 -p war -k monitor-folder1
那是:
- auditctl:用於將條目新增至審核資料庫的命令。
- -w:在路徑(即/etc/shadow)處插入檔案系統物件的監視。
- -p:為檔案系統監視設定權限過濾器。 r=讀取,w=寫入,x=執行,a=屬性變更。
- -k:在審核規則上設定過濾鍵。過濾器鍵是任意文字字串,最長可達 31 個位元組。它可以唯一地標識規則產生的審計記錄。
對於永久監視,您必須將規則新增至 RHEL5 或 RHEL6 或 RHEL7 或 Centos 7 上的 /etc/audit/audit.rules(或 RHEL4 上的 /etc/audit.rules),以便它們在重新啟動後保留。
欲了解更多詳細信息,請點擊鏈接
答案2
在 RHEL/CENTOS 中:您可以監控權限更改,如下所示:
使用該audit套件來完成此任務。
確保auditd service正在運行,並設定為啟動boot chkconfig auditd於
使用以下命令對要監視的所需文件設定監視auditctl:
生的
auditctl -w /etc/hosts -p war -k monitor-hosts
那是:
auditctl:用於將條目新增至審核資料庫的命令。
-w:在路徑處插入檔案系統物件的監視,即/etc/shadow。
-p:設定檔案系統監視的權限過濾器。 r=讀取,w=寫入,x=執行,a=屬性變更。
-k:為審核規則設定過濾鍵。過濾器鍵是任意文字字串,最長可達 31 個位元組。它可以唯一地標識規則產生的審計記錄。
請注意,您必須將規則新增至 /etc/audit/audit.rules