linux监控文件操作行为

已于 2024-04-15 22:50:16 修改
阅读量2.1k 收藏 26
点赞数 34
分类专栏: 运维知识 文章标签: linux chrome 运维
于 2024-04-15 22:44:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40539956/article/details/137798697
版权

linux监控文件操作行为

使用 auditd 系统

auditd 是Linux系统的一个安全和审计系统,它能够跟踪系统上发生的安全相关事件。要使用 auditd 来监控文件,你需要首先确保 auditd 已经安装并且运行在你的系统上。

然后,你可以使用 auditctl 命令来添加监控规则:

sudo auditctl -w /path/to/your/file -p warx -k your-key
#-w 指定要监控的文件路径。
#-p 设置权限过滤,warx 分别代表写入(w)、属性更改(a)、读取(r)和执行(x)。
#-k 设置一个关键词,以便于后续通过这个关键词来搜索和过滤审计日志。

之后,你可以通过 ausearch 或 aureport 命令来查询和报告这个文件的审计日志:

sudo ausearch -k your-key

操作步骤

安装启动

确保 auditd 已安装并运行。

首先,确保你的系统上已经安装了 auditd。可以通过运行以下命令来检查 auditd 服务的状态:

sudo systemctl status auditd

如果服务未运行,使用以下命令启动并设置为开机启动:

sudo systemctl start auditd
sudo systemctl enable auditd
配置监控规则

需要添加监控规则来跟踪对 /etc/pam.d/common-A 和 /etc/lightdm/lightdm-B 文件的更改。由于系统重启后之前使用 auditctl 命令添加的规则不会保留,因此你需要将这些规则添加到配置文件中。

编辑 /etc/audit/rules.d/audit.rules 文件(或者如果这个文件不存在,可能需要编辑 /etc/audit/audit.rules),然后添加以下行:

-w /etc/pam.d/common-A -p wa -k auth-change
-w /etc/lightdm/lightdm-B -p wa -k autologin-change

-w 指定要监控的文件路径,-p wa 指定监控写入(w)和属性(a)更改,-k 后面跟随的是一个自定义的关键字,用于之后过滤和搜索审计日志。

应用并重启 auditd

修改配置文件后,重启 auditd 服务以应用新的监控规则:

sudo systemctl restart auditd

不想重启服务,可以使用 auditctl 工具加载新规则

sudo auditctl -R /etc/audit/rules.d/audit.rules

编辑的是 /etc/audit/audit.rules 文件

sudo auditctl -R /etc/audit/audit.rules
检查审计日志

在系统重启并且文件可能发生变化后,使用以下命令来检查相关的审计日志:

<
最低0.47元/天 解锁文章
linux进程监听文件内容,Linux 监控文件被什么进程修改(详解)
weixin_35286137的博客
04-28 1275
Linux 监控文件被什么进程修改(详解)安装: apt-get install auditd.1.auditd 是后台守护进程,负责监控记录2.auditctl 配置规则的工具3.auditsearch 搜索查看4.aureport 根据监控记录生成报表比如,监控 /root/.ssh/authorized_keys 文件是否被修改过:aditctl -w /root/.ssh/authoriz...
Linux监测进程打开文件
tugouxp的专栏
08-31 727
分析问题过程中,追踪进程打开的文件可以在许多不同情况下有用,体现在以下几个方面:故障排除和调试: 当程序出现问题、崩溃或异常行为时,追踪进程打开的文件可以帮助找出问题的根本原因。这有助于快速定位错误,尤其是在访问文件时发生的错误。性能分析和优化: 了解进程打开了哪些文件可以帮助分析程序的性能问题。如果程序频繁打开和关闭文件,可能会导致性能下降。通过追踪文件操作,可以识别性能瓶颈,从而采取相应的优化措施。权限和安全审计: 在安全方面,追踪进程打开的文件可以帮助监控和审计系统上的文件访问。
Linux应用 inotify监控文件变化
cesheng3410的博客
03-12 3029
本文讲述了inotify的定义、编程步骤以及常用接口,并编写程序进行测试
Linux定期监视某文件变化,监控Linux文件变化,防止服务器被黑
weixin_33549115的博客
04-28 753
运维服务器比较头疼的一个问题是系统被黑,沦为肉鸡或者矿机。除了加强安全基线配置,加强网络和端口加固,系统和应用bug修复,上IDS/IPS(入侵检测/防御系统)之外,另一个方面就是系统监控,一个完善准确的安全监控可以在主机层面及时发现入侵活动、予以告警以备及时处理。本文虫虫就给大家来说说系统文件变化监控。概述在*nix体系一切皆文件,系统文件的变化往往反应着系统的变化,比如系统应用的更新、系统的...
Linux系统应用 - Fanotify
最新发布
dxf1971738522的博客
03-04 700
基于Linux的Fanotify框架实现文件系统变动通知
linux监控文件夹内变化
04-23
linux监控文件夹内变化,c怨言编写,在linux下用gcc编译,用Inotify机制实现监控文件夹变化,由于是linux课的大作业,所以有相关文档,文字说明,便于学习。
Linux使用inotify监控文件动作
superbfly的专栏
03-10 3436
在日常应用中,常常会遇到以下场景,监控文件夹A,若文件夹中的B文件发生变化,则执行C命令。Linux下可以通过inotify完成该功能。 自从Linux kernel 2.6.13起,inotify以作为内核的一部份,同时需要glibc 2.4以上版本。 1. 相关函数 inotify_init() - 创建一个inotify实例 inotify_add_watch(int fd,
linux 监控文件夹
qq362228416的专栏
12-09 412
出于安全原因,我们需要监控服务器上面的文件修改情况 这里用到一个很有用的工具就是inotifywait 安装命令 $ apt-get install inotify-tools 安装完之后,写一个脚本监控我们想要监控的目录,并且把监控到的内容输出到日志文件 watch.sh 脚本 #!/bin/bash inotifywait -rme create,modify,move,de...
Linux文件监控方法
anranjingsi的专栏
02-20 1018
添加对指定文件的监控,可以选择需要监控的事件(设置mask);系统返回一个文件描述符,使用完毕需要释放(close)从fd指定的inotify实例中,删除wd指定的监控项。IN_CLOSE_WRITE:关闭为了写入而打开的文件。IN_ACCESS:文件被访问(read)IN_ATTRIB:文件元数据改变。
Linux文件监控
勤奋的小猪
08-11 794
关键词:linux, 监控 如果要让服务器保持最佳性能,你应该将 Linux 服务器的运行级别 runlevel 设置为 3 ,就是控制台模式,当你需要图形化桌面的时候使用 startx 命令来启动它。修改配置 /etc/inittab 找到 initdefault 一样,将id:5:initdefault修改为 id:3:initdefault。   系统管理需要定期检查的事项
Linux操作系统文件监控-PRELOAD
06-13
监控文件活动的主要目标有以下几点: 1. **安全审计**:通过对文件访问的记录,可以追踪潜在的安全威胁,例如恶意软件试图读取或修改敏感文件。 2. **性能优化**:通过分析应用程序的文件使用模式,可以找出可能...
linux监控文件事件的4种方法
12-16
linux监控文件事件的4种方法 linux操作系统下,如何监听文件的新建,保存,复制,移动剪切,删除事件
Linux 监控文件被什么进程修改(详解)
01-10
安装: apt-get install auditd. 1.auditd 是后台守护进程,负责监控记录 2.auditctl 配置规则的工具 3.auditsearch 搜索查看 4.aureport 根据监控记录生成报表 比如,监控 /root/.ssh/authorized_keys 文件是否被修改过: aditctl -w /root/.ssh/authorized_keys -p war -k auth_key •-w 指明要监控的文件 •-p awrx 要监控的操作类型,append, write, read, execute •-k 给当前这条监控规则起个名字,方便搜索过滤 查看修
linux文件完整性监控的实现
12-11
针对Linux 文件完整性监控的实现 osquery;elk;centos7
用inotify+rsrnc实现linux文件及目录的监控和同步
03-23
NULL 博文链接:https://satellite0818ok.iteye.com/blog/1036477
linux 监控
03-18
- **logwatch**: 分析并报告日志文件,找出异常行为。 - **rsyslog**: 扩展的syslog服务器,支持远程日志传输。 3. **性能分析**: - **strace**: 跟踪系统调用和信号,帮助定位程序问题。 - **gdb**: GNU调试...
linux 监控某个文件
州官已放火的博客
03-29 1315
监控的事件 有几种事件能够被监控。一些事件,比如 IN_DELETE_SELF 只适用于正在被监控的项目,而另一些,比如 IN_ATTRIB 或者 IN_OPEN 则只适用于监控过的项目,或者如果该项目是目录,则可以应用到其所包含的目录或文件。 IN_ACCESS 被监控项目或者被监控目录中的条目被访问过。例如,一个打开的文件被读取。 IN_MODIFY 被监控项目或者被监控目录中的条...
Linux inotify 文件监控
SHELLCODE_8BIT的博客
11-18 758
Linux 下的文件元信息,可以通过 stat() 读取,st_mode 字段记录了文件的类型,取值 S_IFDIR、S_IFREG 分别表示目录文件和常规文件。read 每次通过文件描述符读取的 inotify 事件队列中一个事件,事件的 mask 标记了文件发生的事件。read 每次通过文件描述符读取的 inotify 事件队列中一个事件,事件的 mask 标记了文件发生的事件。除了以上的核心过程,一个文件监控系统还需要包含:监控文件的获取、监控事件的解析和数据补充。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值