Linux 监控文件被什么进程修改

发布时间:2017-6-26 3:05:05 编辑:www.fx114.net 分享查询网我要评论
本篇文章主要介绍了"Linux 监控文件被什么进程修改 ",主要涉及到Linux 监控文件被什么进程修改 方面的内容,对于Linux 监控文件被什么进程修改 感兴趣的同学可以参考一下。

安装: apt-get install auditd.

  1. auditd 是后台守护进程,负责监控记录
  2. auditctl 配置规则的工具
  3. auditsearch 搜索查看
  4. aureport 根据监控记录生成报表

比如,监控 /root/.ssh/authorized_keys 文件是否被修改过:

aditctl -w /root/.ssh/authorized_keys -p war -k auth_key

  • -w 指明要监控的文件
  • -p awrx 要监控的操作类型,append, write, read, execute
  • -k 给当前这条监控规则起个名字,方便搜索过滤

查看修改纪录:ausearch -i -k auth_key,生成报表 aureport.

上一篇:配置cas可外网访问
下一篇:[HDU4507]吉哥系列故事——恨7不成妻

相关文章

相关评论

本站评论功能暂时取消,后续此功能例行通知。

一、不得利用本站危害国家安全、泄露国家秘密,不得侵犯国家社会集体的和公民的合法权益,不得利用本站制作、复制和传播不法有害信息!

二、互相尊重,对自己的言论和行为负责。