我一直在试图解决这个问题,但这似乎是一种说起来容易做起来难的情况。我目前正在设置一个发送错误、登录失败、谁访问了什么以及何时访问等的服务器。
我正在尝试弄清楚如何在用户尝试更改权限时跟踪他们。假设 Bob 运行“chmod 777”,但他没有更改该文件的权限。因此,系统不会告诉他不,他不能这样做,而是会返回一个错误,我可以看到已经进行了尝试。我怎样才能记录该错误(如果尚未记录)以及该位置将存储在哪里? /var/日志/消息?或者,我是否必须设置一个auditctl规则才能使其像我想要的那样工作?谢谢大家
答案1
从man auditctl:
To watch a file for changes (2 ways to express):
auditctl -w /etc/shadow -p wa
auditctl -a always,exit -F path=/etc/shadow -F perm=wa
- -w:在路径(即/etc/shadow)处插入文件系统对象的监视。
- -p:为文件系统监视设置权限过滤器。 w=写入,x=执行,a=属性更改。
您还可以添加 -k,这将有助于使用 搜索这些事件的审核日志ausearch。
- -k:在审核规则上设置过滤键。过滤器键是任意文本字符串,最长可达 31 个字节。它可以唯一地标识规则生成的审计记录。
该规则实际上需要/etc/audit/audit.rules永久生效。 auditd还需要启用并启动(systemctl enable auditd.service和systemctl start auditd.service)。
您可以在此处找到更多信息红帽解决方案文章。您正在运行 CentOS,因此此处的详细信息仍然直接适用于您。