Linux 监控文件被什么进程修改

发布时间:2017-2-21 10:52:36 编辑:www.fx114.net 分享查询网我要评论
本篇文章主要介绍了"Linux 监控文件被什么进程修改 ",主要涉及到Linux 监控文件被什么进程修改 方面的内容,对于Linux 监控文件被什么进程修改 感兴趣的同学可以参考一下。

安装: apt-get install auditd.

  1. auditd 是后台守护进程,负责监控记录
  2. auditctl 配置规则的工具
  3. auditsearch 搜索查看
  4. aureport 根据监控记录生成报表

比如,监控 /root/.ssh/authorized_keys 文件是否被修改过:

aditctl -w /root/.ssh/authorized_keys -p war -k auth_key

  • -w 指明要监控的文件
  • -p awrx 要监控的操作类型,append, write, read, execute
  • -k 给当前这条监控规则起个名字,方便搜索过滤

查看修改纪录:ausearch -i -k auth_key,生成报表 aureport.

上一篇:配置cas可外网访问
下一篇:[HDU4507]吉哥系列故事——恨7不成妻

相关文章

相关评论