auditd我想在 Slackware 14.2 中打开/启用守护进程来记录系统事件。auditd当我运行下面的代码时,我看不到守护进程:
ls /etc/rc*.d | grep "auditd"
这意味着它不存在。如何在 Slackware 中启用auditd?我知道如何启动、停止和重新启动服务,但如果它不存在,我将如何使该服务启动并运行?
答案1
该发行版没有提供auditd,但可以找到构建脚本松弛构建。 (URL 将来会更改。)创建工作目录并获取所需的文件。
mkdir /usr/local/src/audit && cd /usr/local/src/audit
wget http://people.redhat.com/sgrubb/audit/audit-2.3.6.tar.gz
wget https://slackbuilds.org/slackbuilds/14.2/system/audit.tar.gz
解压 Build 脚本,并将源代码移至 Build 目录中。
tar xf audit.tar.gz && rm audit.tar.gz
cd /usr/local/src/audit/audit
mv /usr/local/src/audit/audit-2.3.6.tar.gz /usr/local/src/audit/audit/
阅读与构建相关的注释很重要。
less README
less README.SLACKWARE
执行构建脚本。
/usr/local/src/audit/audit/audit.SlackBuild
成功编译软件后,脚本将安装软件在包文件内执行所需的所有二进制文件、库和配置文件。使用installpkg。
installpkg /tmp/audit-2.3.6-x86_64_SBo.tgz
(可选)删除源文件、临时文件和包文件。
rm -rf /usr/local/src/audit/ /tmp/SBo/ /tmp/audit*
Slackware 内核中未启用审计子系统,因此还必须重建支持审计子系统的内核才能按auditd预期使用。