|
1. 安装audit apt install -y auditd
2. 添加审计规则auditctl -w /etc/passwd -p rwxa ##临时添加,系统重启后失效,建议使用下面的永久添加 echo "-w /etc/passwd -p rwxa" >> /etc/audit/rules.d/audit.rules && echo "-w /etc/shadow -p rwxa" >> /etc/audit/rules.d/audit.rules
##永久添加,每次添加完都需要重启下auditd服务(systemctl restart auditd)
其中各字段含义如下: -w path : 指定要监控的路径,上面的命令指定了监控的文件路径 / 试读已结束,请付费阅读全文。 ¥ 3.00 付费阅读 本文只能试读34%,付费后可阅读全文。 | 
私信
