GNU/Linux >> Linux Esercitazione >  >> Linux

Come controllare le modifiche ai file e le esecuzioni di file in Linux

Auditd è il componente dello spazio utente del sistema di auditing Linux. È responsabile della scrittura dei record di controllo sul disco. La visualizzazione dei log viene eseguita con ausearch o aureport servizi di pubblica utilità. La configurazione delle regole di controllo viene eseguita con l'utilità auditctl. Durante l'avvio, le regole in /etc/audit/rules.d/audit.rules vengono letti da auditctl. Il demone di audit stesso ha alcune opzioni di configurazione che l'amministratore potrebbe voler personalizzare. Si trovano in /etc/audit/rules.d/auditd.conf file.

Su CentOS/RHEL 6, il file di configurazione è /etc/audit/audit.rules invece di /etc/audit/rules.d/audit.rules.

Questo post descriverà i passaggi per abilitare il servizio di auditd del sistema operativo Linux per tenere traccia di eventi di file come esecuzione, lettura, scrittura, ecc. Ad esempio, se desideri monitorare il file /etc/hosts, segui i passaggi descritti di seguito.

1. Verifica che il servizio auditd sia avviato.

# service auditd status 
auditd (pid 2311) is running...

2. Se non è in esecuzione, avvialo:

# service auditd start

3. eseguire il comando auditctl per avviare l'audit del file /etc/hosts. La sintassi è quella mostrata di seguito:

# auditctl -w /etc/hosts -p war -k hosts-file

Ecco,
-w – punta a un file (usa il percorso completo) da guardare/controllare.
-p – imposta il permesso per controllare, r per leggere, w per scrivere, x per eseguire, a per aggiungere.
-k – una parola chiave per registrare le informazioni di audit.

4. Verifichiamo se la regola di audit è impostata correttamente. Leggi e scrivi alcune nuove voci nel file /etc/hosts, quindi controlla le informazioni di controllo in /var/log/messages

# vi /etc/hosts
# ausearch -i -f /etc/hosts
.....
type=PATH msg=audit(05/22/08 18:24:01.071:83) : name=/etc/hosts flags=follow,open inode=4313009 dev=08:05 mode=file,644 ouid=root ogid=root rdev=00:00
type=FS_INODE msg=audit(05/22/08 18:24:01.071:83) : inode=4313009 inode_uid=root inode_gid=root inode_dev=08:05 inode_rdev=00:00
type=FS_WATCH msg=audit(05/22/08 18:24:01.071:83) : watch_inode=4313009 watch=hosts filterkey=testhost perm=read,write,append perm_mask=read
....
Come identificare l'utente che elimina i file da una determinata directory in Linux


Linux

  1. Come eliminare file e directory in Linux dalla riga di comando

  2. Come dividere e combinare file dalla riga di comando in Linux

  3. Come estrarre i file .gz e .tar.gz in Linux

  4. Come archiviare e comprimere file su Linux

  5. Come cercare un file nei file war,ear e jar in modo ricorsivo in Linux

Come rinominare uno o più file in Linux

Come installare e utilizzare Okteta per file di dati RAW in Linux

Come aprire file e cartelle come amministratore in Nautilus File Manager in Linux

Come rinominare file e directory in Linux

Come copiare file e directory nel terminale Linux

Come comprimere un file in Linux