Ubuntu中如何优雅的记录一个文件夹的一生
前言
- 这又是一个悲伤的故事,我们的文件总是被莫名其妙的删除了,我就很纳闷,为什么会出现这样的情况了,于是我就开始折腾审计。
实现过程
- 首先安装: apt-get install auditd
安装完成以后呢,基本上就完了
auditd 是后台守护进程,负责监控记录
auditctl 配置规则的工具
auditsearch 搜索查看
根据监控记录生成报表aureport- 比如,监控 /root/.ssh/authorized_keys 文件是否被修改过:
aditctl -w /root/.ssh/authorized_keys -p war -k auth_key
-w 指明要监控的文件
-p awrx 要监控的操作类型,append, write, read, execute
-k 给当前这条监控规则起个名字,方便搜索过滤
- 查看修改纪录:ausearch -i -k auth_key,生成报表 aureport.