前言
- 这又是一个悲伤的故事,我们的文件总是被莫名其妙的删除了,我就很纳闷,为什么会出现这样的情况了,于是我就开始折腾审计。
实现过程
- 首先安装: apt-get install auditd
安装完成以后呢,基本上就完了
auditd 是后台守护进程,负责监控记录
auditctl 配置规则的工具
auditsearch 搜索查看
根据监控记录生成报表aureport- 比如,监控 /root/.ssh/authorized_keys 文件是否被修改过:
aditctl -w /root/.ssh/authorized_keys -p war -k auth_key-w 指明要监控的文件
-p awrx 要监控的操作类型,append, write, read, execute
-k 给当前这条监控规则起个名字,方便搜索过滤
- 查看修改纪录:ausearch -i -k auth_key,生成报表 aureport.
本文由 Rinvay 创作,采用 知识共享署名4.0 国际许可协议进行许可
本站文章除注明转载/出处外,均为本站原创或翻译,转载前请务必署名
最后编辑时间为: Jul 4, 2019 at 03:44 pm
毕业之后就没有再用Ubuntu了,前天打开古老的台式机,发现版本还停留在Ubuntu10,不敢更新啊
[...]Ubuntu中如何优雅的记录一个文件夹的一生[...]
很不错的内容,值得学习下
来看看
之前被删库的时候就用过