何らかの理由で/home/folder1フォルダの権限が変更されることがあります。誰が権限を変更するのか、どうすればわかりますか?それとも、そのフォルダに対してこのオプションを無効にする方が良いですか?
LinuxディストリビューションCentOS Linuxバージョン7.2.1511(コア)
答え1
これを行うには、監査パッケージを使用します。
auditdサービスが実行されており、起動時にchkconfigauditdonを起動するように設定されていることを確認してください。
auditctl コマンドを使用して、モニターする必要なファイルのモニターを設定します。
auditctl -w /home/folder1 -p war -k monitor-folder1
それは:
- auditctl:監査データベースにエントリを追加するコマンド。
- -w:パス(/ etc / shadowなど)にファイルシステムオブジェクトの監視を挿入します。
- -p:ファイルシステムを監視するための権限フィルタを設定します。 r=読み取り、w=書き込み、x=実行、a=属性の変更。
- -k:監査ルールにフィルタキーを設定します。フィルタキーは、最大31バイトの長さの任意のテキスト文字列です。これは、ルールによって生成された監査レコードを一意に識別します。
永続的な監視のためには、RHEL5、RHEL6、RHEL7、Centos 7の/etc/audit/audit.rules(またはRHEL4の/etc/audit.rules)にルールを追加して、再起動後も永続化する必要があります。
詳しくはリンクをクリックしてください
答え2
RHEL/CENTOS: 다음과 같이 권한 변경을 모니터링할 수 있습니다.
これを行うには、このauditパッケージを使用します。
auditd service実行中で起動するように設定されていることを確認してくださいboot chkconfig auditd。
監視する必要なファイルの監視を設定するには、次のコマンドを使用しますauditctl。
生の
auditctl -w /etc/hosts -p war -k monitor-hosts
それは:
auditctl:監査データベースにエントリを追加するコマンド。
-w:ファイルシステムオブジェクトの監視をパス、つまり/ etc / shadowに挿入します。
-血:ファイルシステムを監視するための権限フィルタを設定します。 r=読み取り、w=書き込み、x=実行、a=属性の変更。
-K:監査ルールのフィルタキーを設定します。フィルタキーは、最大31バイトの長さの任意のテキスト文字列です。これは、ルールによって生成された監査レコードを一意に識別します。
/etc/audit/audit.rulesにルールを追加する必要があります。