Skip to content

Latest commit

 

History

History
25 lines (20 loc) · 714 Bytes

auditd.md

File metadata and controls

25 lines (20 loc) · 714 Bytes

systemctl status auditd

auditctl -w /etc/passwd -p rwxa
* -w path : 指定要监控的路径,上面的命令指定了监控的文件路径 /etc/passwd
* -p : 指定触发审计的文件/目录的访问权限
* rwxa : 指定的触发条件,r 读取权限,w 写入权限,x 执行权限,a 属性(attr)

auditctl -w /root/ljtest
auditctl -l 
ausearch -f /root/ljtest
aureport

/etc/audit/audit.rules 分三类:

  • basic audit system parameters: 整体全局参数设置

  • file and directory watches: 目录权限的设置以及是否可以查看某个目录或者文件

  • system call audits: 系统调用的规则配置

ex:

#Record file permission changes 
-a entry,always -S chmod