Centos 7 -->他のユーザーの失敗した権限の変更を記録しますか?

Centos 7 -->他のユーザーの失敗した権限の変更を記録しますか?

あれこれ調べてみましたが、言葉のように容易ではない状況のようです。現在、エラー、ログイン失敗、誰がいつアクセスしたかなどを送信するサーバーを設定しています。

ユーザーが権限を変更しようとしたときにユーザーを追跡する方法を見つけようとしています。 Bobが「chmod 777」を実行しましたが、ファイルを変更する権限がないとしましょう。したがって、システムが彼にこれを行うことができないと言うのではなく、エラーを返し、試行が行われたことを知ることができます。エラーをどのように記録できます(まだ記録されていない場合)、場所はどこに保存されますか? /var/ログ/メッセージ?または、必要に応じて動作するように auditctl ルールを設定する必要がありますか?みんなありがとう

答え1

からman auditctl

To watch a file for changes (2 ways to express):

auditctl -w /etc/shadow -p wa
auditctl -a always,exit -F path=/etc/shadow -F perm=wa
  • -w:パス(/ etc / shadowなど)にファイルシステムオブジェクトの監視を挿入します。
  • -p:ファイルシステムを監視するための権限フィルタを設定します。 w=書き込み、x=実行、a=属性の変更。

また、これらのイベントの監査ログを検索するのに役立つ-kを追加することもできますausearch

  • -k:監査ルールにフィルタキーを設定します。フィルタキーは、最大31バイトの長さの任意のテキスト文字列です。これは、ルールによって生成された監査レコードを一意に識別します。

実際にはルールを/etc/audit/audit.rules永久に作成する必要があります。 auditdまた、有効にして起動する必要があります(systemctl enable auditd.serviceおよびsystemctl start auditd.service)。

詳細はこちらからご覧いただけます。Red Hat ソリューション記事。あなたはCentOSを実行しているので、ここの詳細はあなたに直接適用されます。

関連情報