AWS Linux仮想マシンの1つでこのファイルがca-certificate.crt
変更され、プライベートCAが削除されました。
これらの変更と削除を行った人が誰であるかをどうやって知ることができますか?
答え1
あなたはできません - 後で。後でauditd
監査ファイルシステムを設定できます。次のコマンドはファイル監視を設定します。
auditctl -w /path/to/filetowatch -k myfile -p rwxa
その後、ログを確認できますausearch
。
最小特権の原則に基づいて、AWS サーバーに root アクセス権を持つユーザーが誰であるかを確認し、sudoers ファイルを確認して、アクセス権を必要としないユーザーを削除します。