由于任何原因,有时文件夹 /home/folder1 的权限会发生变化。我如何知道谁在更改权限?或者更好的是如何禁用该文件夹的此选项?
Linux 发行版 CentOS Linux 版本 7.2.1511(核心)
答案1
使用审计包来完成此任务。
确保auditd服务正在运行,并设置为开机启动 chkconfigauditdon
使用auditctl命令对要监视的所需文件设置监视:
auditctl -w /home/folder1 -p war -k monitor-folder1
那是:
- auditctl:用于将条目添加到审核数据库的命令。
- -w:在路径(即/etc/shadow)处插入文件系统对象的监视。
- -p:为文件系统监视设置权限过滤器。 r=读取,w=写入,x=执行,a=属性更改。
- -k:在审核规则上设置过滤键。过滤器键是任意文本字符串,最长可达 31 个字节。它可以唯一地标识规则生成的审计记录。
对于永久监视,您必须将规则添加到 RHEL5 或 RHEL6 或 RHEL7 或 Centos 7 上的 /etc/audit/audit.rules(或 RHEL4 上的 /etc/audit.rules),以便它们在重新启动后保留。
欲了解更多详细信息,请点击链接
答案2
在 RHEL/CENTOS 中:您可以监控权限更改,如下所示:
使用该audit包来完成此任务。
确保auditd service正在运行,并设置为启动boot chkconfig auditd于
使用以下命令对要监视的所需文件设置监视auditctl:
生的
auditctl -w /etc/hosts -p war -k monitor-hosts
那是:
auditctl:用于将条目添加到审核数据库的命令。
-w:在路径处插入文件系统对象的监视,即/etc/shadow。
-p:设置文件系统监视的权限过滤器。 r=读取,w=写入,x=执行,a=属性更改。
-k:为审核规则设置过滤键。过滤器键是任意文本字符串,最长可达 31 个字节。它可以唯一地标识规则生成的审计记录。
请注意,您必须将规则添加到 /etc/audit/audit.rules