介绍Auditd工具可以帮助运维人员对Linux进行审计。安装$apt-getinstallauditdtoolsauditd有一系列的工具/etc/audit/rules.d/audit.rules:包含审计规则的文件aureport:生成和查看审计规则的文件ausearch:是一个搜索各种事件的工具autrce:进程跟踪命令/etc/audit/auditd.conf:审计工具配置文件使用auditctl$auditctl-help查看帮助。查看规则$auditctl-lauditfiles$auditctl-w/etc/passwd-prwxa运行后会监控/etc/passwd文件。个别参数:-w:该参数会在路径中插入对文件系统对象的监控-p:该参数描述文件系统监控会触发的权限Accesstyperwxa:是上面-p参数绑定的属性。读r,w写,x是执行,a是属性如果不想继续监控,只需要:$auditctl-W/etc/passwd审计目录$auditctl-w/data/ausearch用于查看审计日志。例如:$ausearch-f/etc/passwd...详情请参考:https://linoxide.com/how-tos/...aureport$aureport不带任何参数会生成审计活动的总结报告.如果验证失败,可以:$aureport-au如果想查看所有与账户修改相关的事件,添加-m参数:$aureport-m审计配置文件如果想永久审计,需要编辑/etc/audit/rules.d/audit.rules然后重新加载配置文件:$augenrules--load或者重启服务:$systemctlrestartauditd参考来源https://linoxide.com/how-tos/...
