/home/Code/TopSecret例如,如果鲍勃尝试访问类似的内容。未经许可,系统不允许他访问此内容。我想了解这些尝试。
有没有办法可以通过修改来监视和查看这些尝试auditctl?或者,如果它已被监控,我将在哪里查看这些尝试?
先感谢您。
答案1
您可以尝试解析~/.bash_history每个用户:grep -e "$pattern" /home/*/.bash_history
要查看其 sudo 命令:tail /var/log/secure | grep username或tail /var/log/secure | grep "$pattern"
正如您所想到的,您可以跟踪对路径的访问审计控制。尝试了我的一个测试系统,效果非常好,并且直接来自手册页:
auditctl -w "$path" -a exit,always -S open -F success=0
您应该再次解析audit.loggrep "$pathoffileorfolder" /var/log/audit/audit.log
这就是我在不安装发行版中未附带的任何内容的情况下使用的内容。