aduitctl 审计功能简单介绍

最新推荐文章于 2022-01-24 16:49:39 发布

weixin_34192816

最新推荐文章于 2022-01-24 16:49:39 发布

阅读量501

点赞数

CC 4.0 BY-SA版权

文章标签：开发工具

原文链接：http://blog.51cto.com/ko178/1282524

本文介绍了如何使用auditctl进行系统审计，包括配置敏感目录的监控、查看及清除审计记录等操作。通过具体命令示例，展示了如何针对/etc/shadow等关键文件设置审计规则，并对登录行为进行监控。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

aduitctl 审计功能简单介绍

敏感目录 /etc/ /tmp/
auditctl -w /etc/shadow -p rwxa -k "SHADOW" 创建记录
auditctl -l 查看记录条目
auditctl -D 清除记录
ausearch -k "SHADOW" 查看记录

以下规则相同
auditctl -w /etc/ -p wa
auditctl -a exit,always -F dir=/etc/ -F perm=wa

登录审计 auid不等于0 uid＝0的行为危险信号
vim /etc/rc.local
auditctl -R /etc/audit/aut.log

vim /etc/audit/aut.log
-a exit,always -F uid!=0 euid=0 -F perm=uid
-a exit,always -F auid!=0 uid=0 -F perm=auid

登录信息

aureport -l

aureport -s

查看详细参数

man aureport