auditd 监控文件被修改

最新推荐文章于 2025-03-03 00:16:00 发布
原创 最新推荐文章于 2025-03-03 00:16:00 发布 · 646 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux

本文介绍了如何利用Linux系统内置的auditd工具来监控系统安全,特别是关注于跟踪/root/.ssh/authorized_keys文件的修改情况。通过运行'auditctl -w /root/.ssh/authorized_keys -p war -k auth_key'命令,可以设置监控规则,监控文件的append、write、read和execute操作。当发生变动时,使用ausearch -i -k auth_key搜索记录,并通过aureport生成报表,以便分析和审计系统安全事件。

安装: apt-get install auditd.(一般系统都会自带该命令)

  1. auditd 是后台守护进程,负责监控记录
  2. auditctl 配置规则的工具
  3. auditsearch 搜索查看
  4. aureport 根据监控记录生成报表

比如,监控 /root/.ssh/authorized_keys 文件是否被修改过:

aditctl -w /root/.ssh/authorized_keys -p war -k auth_key

  • -w 指明要监控的文件
  • -p awrx 要监控的操作类型,append, write, read, execute
  • -k 给当前这条监控规则起个名字,方便搜索过滤

查看修改纪录:ausearch -i -k auth_key,生成报表 aureport.

ouzb1
关注
Linux监听系统文件(二)——auditd
qq_43287763的博客
07-09 1071
使用auditd可以记录文件修改操作,博主采用的就是这种,下面是实例。首先,安装auditd然后,添加一个监控规则来监控这是auditd生成的审计日志输出,描述了之前设置的审计规则被添加的事件。让我们逐步解释每一部分的含义:这些日志条目表明你成功添加了一条审计规则来监视`/etc/locale.conf`文件的更改。接下来,审计日志将记录对这个文件的所有访问和更改。
linux监控文件操作行为
weixin_40539956的博客
04-15 2507
关键词(key)在这个上下文中是完全自定义的。当你使用 -k 参数在 auditd 规则中指定一个关键词时,这个关键词用于标记和识别与该规则相关的审计事件。这意味着你可以使用任何有意义的字符串作为关键词,以便于后续在审计日志中快速过滤和查找相关事件。-k auth-change 中的 auth-change 是一个自定义关键词,用于标识和过滤与 /etc/pam.d/common-auth 文件更改相关的审计事件。
监控某个文件被哪个进程修改
CheerTan is here
10-22 1115
auditctl -w /filepath/1.jspx -p wa 日志在/var/log/audit/audit.log
使用auditd监控Linux文件变化
weixin_33670786的博客
12-25 475
2019独角兽企业重金招聘Python工程师标准>>> ...
linux内核监听文件变化,使用auditd监控Linux文件变化
weixin_30738065的博客
04-30 685
如果没有auditd的话,使用yum安装安装即可以linux监控/tmp/xxx.dat为例:#vi/etc/audit/audit.rules#whenevertheauditdaemonisstartedviatheinitscripts.#Therulesaresimplytheparametersthatwouldbepassed#toaudi...
Linux 监控文件被什么进程修改(详解)
09-15
监控文件修改的基本步骤如下: 1. **配置审计规则**:使用`auditctl`命令添加新的监控规则。例如,如果你想要监控`/root/.ssh/authorized_keys`文件,你可以运行以下命令: ```bash sudo auditctl -w /root/.ssh...
linux进程监听文件内容,Linux 监控文件被什么进程修改(详解)
weixin_35286137的博客
04-28 1342
Linux 监控文件被什么进程修改(详解)安装: apt-get install auditd.1.auditd 是后台守护进程,负责监控记录2.auditctl 配置规则的工具3.auditsearch 搜索查看4.aureport 根据监控记录生成报表比如,监控 /root/.ssh/authorized_keys 文件是否被修改过:aditctl -w /root/.ssh/authoriz...
监控服务器目录修改,监控服务器目录修改
weixin_36140400的博客
08-13 437
监控服务器目录修改 内容精选换一换弹性云服务器默认设置的时区,是您制作镜像时选择的时区。如需修改,请参见本节内容,将其更改为所需的本地时间或网络中的其他时区。弹性云服务器登录成功后,如果发现弹性云服务器系统时间与本地时间不一致,建议更改时区,将弹性云服务器系统时间与本地时间进行同步。所有区域的弹性云服务器默认时区为东八区。您可以参考本节操作,将其更改为所需的本地时间或网络云耀云服务器默认设置的时区...
部署audit监控文件: 使用audit监控/etc/ssh/sshd_config 当该文件发生任何变化即记录日志 通过手动和ausearch工具查看日志内容
彭淦淦的博客
04-23 1171
1.1 问题 本案例要求熟悉audit审计工具的基本使用,完成以下任务操作: 使用audit监控/etc/ssh/sshd_config 当该文件发生任何变化即记录日志 通过手动和ausearch工具查看日志内容 1.2 方案 审计的目的是基于事先配置的规则生成日志,记录可能发生在系统上的事件(正常或非正常行为的事件),审计不会为系统提供额外的安全保护,但她会发现并记录违反安全策略的人及其对应的...
学习Linux审计守护工具之auditd
最新发布
ReaF_star的博客
03-03 2176
auditd 一个linux重要组件, 主要用于监控系统调用和文件访问。通过配置审计规则,可以用来记录文件访问、登录尝试、权限更改等操作,能够帮管理员追踪系统的安全时间和异常行为。
【安全】audit的一些问题以及需要注意的地方
追寻梦想的青春
12-22 1502
当内核在执行audit_set_pid时,内核会占用audit_cmd_mutex,然后判断是否已经有其他进程占用audit,如果有就会尝试发送消息,从而判断用户态进程在正常接收审计日志,那么该调用就会返回File exists的报错。因此,在存在该问题的系统上,不能先执行audit_set_pid,然后通过结果判断,而是应该先干掉占用的进程,只在audit_pid为0时才调用audit_set_pid。当用户态程序消费审计日志过慢,造成缓存队列满时,会触发内核的睡眠机制,造成系统卡顿。
Linux安全之auditd审计工具使用说明
月生的静心苑
11-28 1万+
audit 我们可以使用auditctl临时配置规则,服务重启失效,如果需要配置永久生效,我们需要将规则写入到配置文件中。auditd审计规则分成三个部分,控制规则:这些规则用于更改审计系统本身的配置和设置。文件系统规则:这些是文件或目录监视。使用这些规则,我们可以审核对特定文件或目录的任何类型的访问。系统调用规则:这些规则用于监视由任何进程或特定用户进行的系统调用。使用 ausearch ,您可以过滤和搜索事件类型。它还可以通过将数值转换为更加直观的值(如系统调用或用户名)来解释事件。
Linux监控文件被什么进程修改、删除,审计工具auditd
小灰灰的专栏
04-12 4333
auditd,审计工具
Linux 审计工具 auditd 命令
huanghjunjun的博客
10-14 1万+
auditd 常用来对文件修改进行监听。
linux服务——auditd
updba的专栏
03-24 1万+
审计(audit)是linux安全体系的重要组成部分,他是一种“被动”的防御体系。 在内核里有内核审计模块,核外有核外的审计后台进程auditd。 应用程序给内核发送审计消息,内核的审计模块再把消息转发给用户空间的后台进程auditd处理。 大概就是这么回事,我不是太深入,如果需要更多的内容,自己去查阅相关资料。如果没有好的资料,我推荐一本,《linux安全体系分析与编程》作者倪继利 。
auditctl 监控文件修改
csdnhadoop的博客
04-29 6880
设置监控: auditctl  -w /root/dead.letter -p wxa -k "mon_dead" -w 监控文件路径 /root/dead.letter  -p 监控文件筛选 r(读) w(写) x(执行) a(属性改变) -k 筛选字符串,用于查询监控日志 设置了监控后,会在/var/log/audit/audit.log里出现日志。 可以用
audit安装配置及使用
weixin_45630387的博客
04-14 3447
官网链接:https://access.redhat.com/documentation/zh-cn/red_hat_enterprise_linux/7/html/security_guide/chap-system_auditing。
谁动了我的文件——使用audit监控文件和目录
热门推荐
Blue summer的博客
07-13 1万+
有时候在系统上经常会遇到某个文件不知被谁修改了,或者删除了,又找不到证据,这时候audit就派上用场了。 比如我要监控/var/log/test这个目录,可以这样新增一个监控项, [root@CentOS-7-2 /var/log/test]# auditctl -w /var/log/test [root@CentOS-7-2 /var/log/test]# auditctl -l -w...
计算机文件监控系统研究与应用
2. 操作系统级别的文件监控:不同操作系统的文件监控机制不尽相同,但大多数现代操作系统都提供了相应的接口或工具来帮助监控文件变化。例如,在Windows系统中,可以利用Windows Management Instrumentation (WMI)来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值