实时监视对关键文件的文件访问
以下步骤可用于实时监视对关键文件的文件访问。
请执行以下步骤:
- 设置要监视更改的关键文件的列表,例如 /etc 中的所有文件,并在 objects 文件中配置这些文件以用于 FILE_Write 事件:
find /etc -type f | awk '{printf("%s:\n\tw = FILE_Write\n\n",$1)}' >> /etc/security/audit/objects - 设置 stream 审计列出全部文件写操作。 (此示例列出写到控制台的全部文件,但在生产环境下可能想要有一个后端,它发送事件到入侵检测系统。) /etc/security/audit/streamcmds 文件类似于以下内容:
/usr/sbin/auditstream | /usr/sbin/auditselect -e "event == FILE_Write" | auditpr -hhelpPRtTc -v > /dev/console & - 在 /etc/security/audit/config中设置 STREAM 方式审计,为文件写事件添加类并配置应使用该类进行审计的所有用户:
start: binmode = off streammode = on stream: cmds = /etc/security/audit/streamcmds classes: filemon = FILE_write users: root = filemon afx = filemon ... - 立即运行 audit start。 在控制台上显示所有 FILE_Write 事件。