我一直在試圖解決這個問題,但這似乎是一種說起來容易做起來難的情況。我目前正在設定一個發送錯誤、登入失敗、誰訪問了什麼以及何時訪問等的伺服器。
我正在嘗試弄清楚如何在用戶嘗試更改權限時追蹤他們。假設 Bob 運行“chmod 777”,但他沒有更改該檔案的權限。因此,系統不會告訴他不,他不能這樣做,而是會傳回一個錯誤,我可以看到已經進行了嘗試。我怎樣才能記錄該錯誤(如果尚未記錄)以及該位置將儲存在哪裡? /var/日誌/訊息?或者,我是否必須設定一個auditctl規則才能使其像我想要的那樣工作?謝謝大家
答案1
從man auditctl:
To watch a file for changes (2 ways to express):
auditctl -w /etc/shadow -p wa
auditctl -a always,exit -F path=/etc/shadow -F perm=wa
- -w:在路徑(即/etc/shadow)處插入檔案系統物件的監視。
- -p:為檔案系統監視設定權限過濾器。 w=寫入,x=執行,a=屬性變更。
您也可以新增 -k,這將有助於使用 搜尋這些事件的審核日誌ausearch。
- -k:在審核規則上設定過濾鍵。過濾器鍵是任意文字字串,最長可達 31 個位元組。它可以唯一地標識規則產生的審計記錄。
該規則實際上需要/etc/audit/audit.rules永久生效。 auditd還需要啟用並啟動(systemctl enable auditd.service和systemctl start auditd.service)。
您可以在此找到更多信息紅帽解決方案文章。您正在運行 CentOS,因此此處的詳細資訊仍然直接適用於您。