1) 安装
$ sudo apt install auditd
auditd 是后台守护进程, 负责监控记录
auditctl 配置规则的工具
auditsearch 搜索查看
aureport 根据监控记录生成报表
2) 监控 ( 根据自己所设置的 authorized_keys )
$ sudo auditctl -w /root/.ssh/authorized_keys -p awr -k auth_key
-w 指明要监控的文件
-p awrx 要监控的操作类型, append(a), write(w), read(r), execute(x)
-k 给当前这条监控规则起个名字, 方便搜索过滤
3) 查看修改纪录
$ sudo ausearch -i -k auth_key
4) 生成报表
$ sudo aureport .
https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/sec-Creating_Audit_Reports.html
5) 查看
$ sudo cat /var/log/audit/audit.log
没有评论:
发表评论