auditd 监控文件被修改

最新推荐文章于 2024-06-01 07:40:51 发布
最新推荐文章于 2024-06-01 07:40:51 发布
阅读量447 收藏
点赞数
文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ouzb1/article/details/113420161
版权

安装: apt-get install auditd.(一般系统都会自带该命令)

  1. auditd 是后台守护进程,负责监控记录
  2. auditctl 配置规则的工具
  3. auditsearch 搜索查看
  4. aureport 根据监控记录生成报表

比如,监控 /root/.ssh/authorized_keys 文件是否被修改过:

aditctl -w /root/.ssh/authorized_keys -p war -k auth_key

  • -w 指明要监控的文件
  • -p awrx 要监控的操作类型,append, write, read, execute
  • -k 给当前这条监控规则起个名字,方便搜索过滤

查看修改纪录:ausearch -i -k auth_key,生成报表 aureport.

ouzb1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
部署audit监控文件: 使用audit监控/etc/ssh/sshd_config 当该文件发生任何变化即记录日志 通过手动和ausearch工具查看日志内容
彭淦淦的博客
04-23 851
1.1 问题 本案例要求熟悉audit审计工具的基本使用,完成以下任务操作: 使用audit监控/etc/ssh/sshd_config 当该文件发生任何变化即记录日志 通过手动和ausearch工具查看日志内容 1.2 方案 审计的目的是基于事先配置的规则生成日志,记录可能发生在系统上的事件(正常或非正常行为的事件),审计不会为系统提供额外的安全保护,但她会发现并记录违反安全策略的人及其对应的...
监控某个文件被哪个进程修改
CheerTan is here
10-22 796
auditctl -w /filepath/1.jspx -p wa 日志在/var/log/audit/audit.log
Linux安全之auditd审计工具使用说明
最新发布
qq_53058639的博客
06-01 882
audited是Linux审核系统的用户空间组件。它负责将审核记录写入磁盘。查看日志是通过ausearch或aureport实用程序完成的。审核系统或加载规则的配置是使用auditctl实用程序完成的。在启动过程中,/etc/audit/audit.rules中的规则由auditctl读取并加载到内核中。另外,还有一个augenrules程序,它读取/etc/audit/rules.d/中的规则,并将它们编译为audit.rules文件
使用auditd监控Linux文件变化
weixin_33670786的博客
12-25 388
2019独角兽企业重金招聘Python工程师标准>>> ...
linux内核监听文件变化,使用auditd监控Linux文件变化
weixin_30738065的博客
04-30 547
如果没有auditd的话,使用yum安装安装即可以linux监控/tmp/xxx.dat为例:#vi/etc/audit/audit.rules#whenevertheauditdaemonisstartedviatheinitscripts.#Therulesaresimplytheparametersthatwouldbepassed#toaudi...
监控服务器目录修改,监控服务器目录修改
weixin_36140400的博客
08-13 327
监控服务器目录修改 内容精选换一换弹性云服务器默认设置的时区,是您制作镜像时选择的时区。如需修改,请参见本节内容,将其更改为所需的本地时间或网络中的其他时区。弹性云服务器登录成功后,如果发现弹性云服务器系统时间与本地时间不一致,建议更改时区,将弹性云服务器系统时间与本地时间进行同步。所有区域的弹性云服务器默认时区为东八区。您可以参考本节操作,将其更改为所需的本地时间或网络云耀云服务器默认设置的时区...
Linux监控文件被什么进程修改、删除,审计工具auditd
小灰灰的专栏
04-12 3408
auditd,审计工具
linux auditd规则存储文件,inotify与Auditd实现文件操作记录和审计
weixin_31688873的博客
05-13 685
业务反馈现网某个目录下的文件发现两次被删除,不过没有具体的删除时间,也不知道是被什么程序删除的,所以提出一个需求是希望通过监控该目录下的相关文件,一旦发现被删除后,可以通过记录写到logfile里 。最初想到的是通过 inotify 功能实现记录,后来发现auditd记录的信息更详细一些,这里分别说下两种实现方法 。一、inotifynotify是Linux内核2.6.13 (June 18, 2...
linux服务——auditd
updba的专栏
03-24 1万+
审计(audit)是linux安全体系的重要组成部分,他是一种“被动”的防御体系。 在内核里有内核审计模块,核外有核外的审计后台进程auditd。 应用程序给内核发送审计消息,内核的审计模块再把消息转发给用户空间的后台进程auditd处理。 大概就是这么回事,我不是太深入,如果需要更多的内容,自己去查阅相关资料。如果没有好的资料,我推荐一本,《linux安全体系分析与编程》作者倪继利 。
通过audit监控某个文件的写操作
llxx1234的博客
05-27 973
按照下面的步骤可以增加对某个文件写操作的监控, 1、vi /etc/audit/rules.d/audit.rules在最后一行加入一行 -w 文件名字 -p w -k 别名(test) 2、 执行service auditd restart 3、获取监控结果,有两种方法 cat /var/log/audit/audit.log |grep test au...
Linux 审计工具 auditd 命令
huanghjunjun的博客
10-14 1万+
auditd 常用来对文件修改进行监听。
部署audit监控文件
weixin_40018205的博客
07-15 1405
审计的目的是基于事先配置的规则生成日志,记录可能发生在系统上的事件(正常或非正常行为的事件),审计不会为系统提供额外的安全保护,但她会发现并记录违反安全策略的人及其对应的行为。审计能够记录的日志内容:a) 日期与事件以及事件的结果b) 触发事件的用户c) 所有认证机制的使用都可以被记录,如ssh等d) 对关键数据文件修改行为等都可以被记录1)安装软件包,查看配置文件(确定审计日志的位置)[roo...
Process Monitor监控目录 - 监控文件被哪个进程操作了。
zhang_sinner的专栏
02-11 1万+
转载请注明: 用Process Monitor监控目录 | 薤叶芸香's blog http://plumgo.cc/trace-folder-using-process-monitor/ 利用之前Windows API的知识,可以实现目录监控的功能,实际上我也实现了,但是如文中所述,当指定目录下操作过多时,会损失部分通知。多少算多呢,解压一个eclipse开发环境的压缩包到监控目录下,
linux audit审计(8)--ausearch搜索audit日志文件
weixin_30262255的博客
04-18 958
ausearch这个工具,可以针对指定的事件来搜索audit日志文件。默认情况下,ausearch搜索/var/log/audit/audit.log这个文件。 Theausearchutility allows you to search Audit log files for specific events. By default,ausearchsearches the/var/...
linux进程监听文件内容,Linux 监控文件被什么进程修改(详解)
weixin_35286137的博客
04-28 1153
Linux 监控文件被什么进程修改(详解)安装: apt-get install auditd.1.auditd 是后台守护进程,负责监控记录2.auditctl 配置规则的工具3.auditsearch 搜索查看4.aureport 根据监控记录生成报表比如,监控 /root/.ssh/authorized_keys 文件是否被修改过:aditctl -w /root/.ssh/authoriz...
linux的审计功能
lishenglong666的专栏
12-16 3728
linux的审计功能(audit) 2010-09-30 16:40:34|  分类: 工作|字号 订阅 2.6 Linux内核有用日志记录事件的能力,比如记录系统调用和文件访问。然后,管理员可以评审这些日志,确定可能存在的安全裂口,比如失败的登录尝试,或者用户对系统文件不成功的访问。这种功能称为Linux审计系统,在Red Hat Enterprise
Linuxaudit日志的使用方法
热门推荐
Han的小站
02-27 5万+
auditd服务的安装: 以CentOS6.5为例,使用下面的方法确认auditd服务的安装情况: yumlist audit audit-libs 确认以下两个package是否安装: audit.x86_64
linux环境下 如何进行文件监控
06-06
2. auditd:是一个 Linux 安全审计守护进程,可以监控文件和系统调用等操作,并将其记录到日志中,以便进行审计和调查。 3. lsof:是一个列出当前系统打开文件的工具,可以显示文件的进程 ID、文件描述符、文件类型...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值