深圳网站建设_请到中投网络!,网站备案文件,网站建设caiyiduo,网站竞争案例目的
当在服务器上执行类似于 rm 命令时#xff0c;自动记录该命令执行的时间#xff0c;在哪里执行的#xff0c;删除的什么文件#xff0c;记录到审计日志中#xff0c;能够查找到某些文件丢失原因
配置
# 需要root权限#xff0c;sudo不行#xff0c;这里假设执行…目的
当在服务器上执行类似于 rm 命令时自动记录该命令执行的时间在哪里执行的删除的什么文件记录到审计日志中能够查找到某些文件丢失原因
配置
# 需要root权限sudo不行这里假设执行 rm
auditctl -w /usr/bin/rm -p x -k rm-logs
auditctl -w /usr/local/bin/rm -p x -k rm-logs
auditctl -w /usr/bin/touch -p x -k touch-log# 查看配置的审计规则
auditctl -l# -w表示要监视的文件或目录路径。在这种情况下/bin/rm 是要监视的可执行文件的路径。
# /usr/bin/rm指定要监视的文件或目录的路径。在这里它是rm命令的完整路径。
# -p x表示要监视的操作权限。在这种情况下x 表示执行权限即当 rm 命令被执行时触发审计规则。
# -k rm-logs指定生成的审计事件的键名key name。这个键名用于在审计日志中标识与此规则相关的事件。在这里rm-logs 是键名。 测试
测试root账号执行删除命令
# 用root账号先创建一个文件
touch test.txt
# 再删除一个文件
rm -f test.txt
# 查看审计日志
vim /var/log/audit/audit.log 测试普通账号执行删除命令
# 切换普通用户
su - test
# 创建一个文件夹
mkdir aaaaaa
# 删除一个文件夹
rm -rf aaaaaaa
# 查看审计日志
sudo /var/log/audit/audit.log
