在我们的一台 AWS Linux 虚拟机中,该ca-certificate.crt文件已被修改,并且我们的私有 CA 已被删除。
我如何确定是谁进行了这些更改和删除?
答案1
你不能——事后。将来,您可以设置auditd审核文件系统。以下命令设置对文件的监视:
auditctl -w /path/to/filetowatch -k myfile -p rwxa
然后您可以通过检查日志ausearch。
根据最小权限原则,我还会检查谁在您的 AWS 服务器上具有 root 访问权限并验证 sudoers 文件,以删除不需要特权访问的任何人。