あれこれ調べてみましたが、言葉のように容易ではない状況のようです。現在、エラー、ログイン失敗、誰がいつアクセスしたかなどを送信するサーバーを設定しています。
ユーザーが権限を変更しようとしたときにユーザーを追跡する方法を見つけようとしています。 Bobが「chmod 777」を実行しましたが、ファイルを変更する権限がないとしましょう。したがって、システムが彼にこれを行うことができないと言うのではなく、エラーを返し、試行が行われたことを知ることができます。エラーをどのように記録できます(まだ記録されていない場合)、場所はどこに保存されますか? /var/ログ/メッセージ?または、必要に応じて動作するように auditctl ルールを設定する必要がありますか?みんなありがとう
答え1
からman auditctl
:
To watch a file for changes (2 ways to express):
auditctl -w /etc/shadow -p wa
auditctl -a always,exit -F path=/etc/shadow -F perm=wa
- -w:パス(/ etc / shadowなど)にファイルシステムオブジェクトの監視を挿入します。
- -p:ファイルシステムを監視するための権限フィルタを設定します。 w=書き込み、x=実行、a=属性の変更。
また、これらのイベントの監査ログを検索するのに役立つ-kを追加することもできますausearch
。
- -k:監査ルールにフィルタキーを設定します。フィルタキーは、最大31バイトの長さの任意のテキスト文字列です。これは、ルールによって生成された監査レコードを一意に識別します。
実際にはルールを/etc/audit/audit.rules
永久に作成する必要があります。 auditd
また、有効にして起動する必要があります(systemctl enable auditd.service
およびsystemctl start auditd.service
)。
詳細はこちらからご覧いただけます。Red Hat ソリューション記事。あなたはCentOSを実行しているので、ここの詳細はあなたに直接適用されます。