当前位置:  首页  >  服务器技术  >  Linux/unix  >  Linux入门

在红帽企业版Linux5,怎样使用audit去查看谁改动了文件?

在红帽企业版Linux5,怎样使用audit去查看谁改动了文件?--Linux通用技术-Linux技术与应用信息,下面是详情阅读。
当我们为一个服务器创建了安全策略,有必要不定期去查看文件是否意外被改变。使用md5sum这样的工具可以知道一个文件已经被改变,但是不知道是谁改变了这个文件。使用audit子系统,有可能跟踪到改变该文件的相关进程。

使用auditctl命令完成给一个文件设定监控:

[root@host]# auditctl -w /etc/hosts -p war -k hosts-file

在这里,在/etc/hosts文件上设定了一个监控,针对任意有可能会执行写、读或者改变属性(-p war)的系统调用(syscall)。这将会以key hosts-file的方式记录下来。key可以用来在audit日志中查找那些操作,使用ausearch命令:
QUOTE:
吐了个 "CAO" !
扫码关注 PHP1 官方微信号
PHP1.CN | 中国最专业的PHP中文社区 | 凯发国际娱乐 | 凯发国际娱乐下载 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | PHP问答
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved PHP1.CN 第一PHP社区 版权所有