当用户使用 Auditctl 退出 Linux 会话时是否能够进行记录?
我目前audit.rules与用户的关系是:
-w /etc/login.defs -p xwa -k login
-w /etc/securetty -p xwa -k login
-w /var/log/faillog -p xwa -k login
-w /var/log/lastlog -p xwa -k login
-w /var/log/tallylog -p xwa -k login
-w /var/log/secure -p xwa -k login
我看不到任何明显的东西/var/log,所以我认为这需要更多的配置?
答案1
这很大程度上取决于您使用的操作系统/发行版:
Fedora 20 和 RHEL7 使用
systemd,因此可以使用以下方式查看所有登录/注销操作journalctl:Jul 17 11:14:08 pris.crapsteak.org login[23256]: pam_unix(login:session): session opened for user root by LOGIN(uid=0) Jul 17 11:14:08 pris.crapsteak.org login[23256]: ROOT LOGIN ON tty2 Jul 17 11:14:26 pris.crapsteak.org login[23256]: pam_unix(login:session): session closed for user root在 RHEL6 中,这些操作被记录到
/var/log/auth.log。
有关特定配置auditd,请查看Scott Pack 对审计系统的精彩介绍,来自该文章中的示例配置:
-w /var/run/utmp -p wa -k session
-w /var/log/wtmp -p wa -k session
-w /var/log/btmp -p wa -k session
接下来的三个文件(utmp、wtmp、btmp)分别存储每个用户的当前登录状态、登录/注销历史记录和失败的登录尝试。因此,监控这些文件可以让我们知道何时使用帐户或登录尝试失败,或者更具体地说,每当这些文件被更改(包括恶意掩盖踪迹)时。