使用萨温节文件完整性监控,我正在尝试监控 crontab 条目的更改。我将以下条目添加到/etc/samhain/samhainrc
dir=/var/spool/cron/crontabs
然后我在 root 帐户中添加了一个条目/var/spool/cron/crontabs/root ,当我尝试执行时Samhain -t check,Samhain 不会报告更改。当我尝试使用任何其他文件时,它都可以工作。有什么帮助吗?
答案1
您应该按照以下方式定义目录:
dir=/var/spool/cron
并重新考虑对该目录的监控,因为 cron 作业在正常情况下会发生变化。在 Ubuntu 16 上...该行应该是:
dir=/var/spool/cron/crontab
如果您想监控特定的 cron,请使用如下配置:
file=/var/spool/cron/root
乌本图:
file=/var/spool/cron/crontab/root