使用auditd进行Ubuntu文件权限审计

avatar
作者
筋斗云
阅读量:0

  1. 安装auditd:
sudo apt-get install auditd 
  1. 启动auditd服务:
sudo systemctl start auditd 
  1. 配置audit规则:
sudo nano /etc/audit/audit.rules 

在文件中添加如下规则:

-w /path/to/directory -p wa -k directory_change 

其中:

  • /path/to/directory 是要审计的目录路径
  • -p wa 表示审计写入和属性更改事件
  • -k directory_change 是规则的标记
  1. 重新加载audit规则:
sudo auditctl -R /etc/audit/audit.rules 
  1. 查看审计日志:
sudo ausearch -k directory_change 
  1. 配置审计日志的保留时间:
sudo nano /etc/audit/auditd.conf 

找到max_log_file_action并修改为keep_logs,然后重启auditd服务:

sudo systemctl restart auditd 

通过以上步骤,您可以使用auditd工具对Ubuntu系统中的文件权限进行审计。您可以根据需要配置不同的审计规则,并查看审计日志以监控文件权限的变更情况。

广告一刻

为您即时展示最新活动产品广告消息,让您随时掌握产品活动新动态!