Linux 监控文件被什么进程修改(详解)
<p><span><strong>安装: apt-get install auditd.</strong></span></p>
<p>
1.auditd 是后台守护进程,负责监控记录<br>
2.auditctl 配置规则的工具<br>
3.auditsearch 搜索查看<br>
4.aureport 根据监控记录生成报表</p>
<p>
<span><strong>比如,监控 /root/.ssh/authorized_keys 文件是否被修改过:</strong></span></p>
<p>
aditctl -w /root/.ssh/authorized_keys -p war -k auth_key</p>
<p>
•-w 指明要监控的文件<br>
•-p awrx 要监控的操作类型,append, write, read, execute<br>
•-k 给当前这条监控规则起个名字,方便搜索过滤</p>
<p>
查看修改纪录:ausearch -i -k auth_key,生成报表 aureport.</p>
<p>
以上这篇Linux 监控文件被什么进程修改(详解)就是小编分享给大家的全部内容了,希望能给大家一个参考,也希望大家多多支持。</p>
頁:
[1]