/home/Code/TopSecret例如,如果鮑伯嘗試存取類似的內容。未經許可,系統不允許他存取此內容。我想了解這些嘗試。
有沒有辦法可以透過修改來監視和查看這些嘗試auditctl?或者,如果它已被監控,我將在哪裡查看這些嘗試?
先感謝您。
答案1
您可以嘗試解析~/.bash_history每個使用者:grep -e "$pattern" /home/*/.bash_history
要查看其 sudo 命令:tail /var/log/secure | grep username或tail /var/log/secure | grep "$pattern"
正如您所想到的,您可以追蹤對路徑的訪問審計控制。嘗試了我的一個測試系統,效果非常好,並且直接來自手冊頁:
auditctl -w "$path" -a exit,always -S open -F success=0
您應該再解析audit.loggrep "$pathoffileorfolder" /var/log/audit/audit.log
這就是我在不安裝發行版中未附帶的任何內容的情況下使用的內容。