어떤 이유로든 /home/folder1 폴더의 권한이 변경되는 경우가 있습니다. 누가 권한을 변경하는지 어떻게 알 수 있나요? 아니면 해당 폴더에 대해 이 옵션을 비활성화하는 방법이 더 낫습니까?
Linux 배포판 CentOS Linux 버전 7.2.1511(코어)
답변1
이 작업을 수행하려면 감사 패키지를 사용하십시오.
auditd 서비스가 실행 중이고 부팅 시 chkconfigauditdon을 시작하도록 설정되어 있는지 확인하세요.
auditctl 명령을 사용하여 모니터링하려는 필수 파일에 대한 모니터링을 설정합니다.
auditctl -w /home/folder1 -p war -k monitor-folder1
그건:
- auditctl: 감사 데이터베이스에 항목을 추가하는 명령입니다.
- -w: 경로(예: /etc/shadow)에 파일 시스템 개체 모니터링을 삽입합니다.
- -p: 파일 시스템 모니터링을 위한 권한 필터를 설정합니다. r=읽기, w=쓰기, x=실행, a=속성 변경.
- -k: 감사 규칙에 필터 키를 설정합니다. 필터 키는 최대 31바이트 길이의 임의 텍스트 문자열입니다. 이는 규칙에 의해 생성된 감사 레코드를 고유하게 식별합니다.
영구 모니터링을 위해서는 RHEL5, RHEL6, RHEL7, Centos 7의 /etc/audit/audit.rules(또는 RHEL4의 /etc/audit.rules)에 규칙을 추가하여 재부팅 후에도 지속되도록 해야 합니다.
자세한 내용은 링크를 클릭해주세요
답변2
RHEL/CENTOS: 다음과 같이 권한 변경을 모니터링할 수 있습니다.
이 작업을 수행하려면 이 audit
패키지를 사용하십시오.
auditd service
실행 중이고 시작되도록 설정되어 있는지 확인하세요 boot chkconfig auditd
.
모니터링할 필수 파일에 대한 모니터링을 설정하려면 다음 명령을 사용하십시오 auditctl
.
날것의
auditctl -w /etc/hosts -p war -k monitor-hosts
그건:
auditctl: 감사 데이터베이스에 항목을 추가하는 명령입니다.
-w: 파일 시스템 객체의 모니터링을 경로, 즉 /etc/shadow에 삽입합니다.
-피: 파일 시스템 모니터링을 위한 권한 필터를 설정합니다. r=읽기, w=쓰기, x=실행, a=속성 변경.
-케이: 감사 규칙에 대한 필터 키를 설정합니다. 필터 키는 최대 31바이트 길이의 임의 텍스트 문자열입니다. 이는 규칙에 의해 생성된 감사 레코드를 고유하게 식별합니다.
/etc/audit/audit.rules에 규칙을 추가해야 합니다.