/home/Code/TopSecret예를 들어 Bob이 이와 같은 항목에 액세스하려고 시도하는 경우입니다. 그는 허가 없이 이 콘텐츠에 접근할 수 없습니다. 나는 이러한 시도를 이해하고 싶다.
이러한 시도를 모니터링하고 볼 수 있도록 이를 수정할 수 있는 방법이 있습니까 auditctl? 아니면 모니터링 중인 경우 이러한 시도를 어디서 볼 수 있나요?
미리 감사드립니다.
답변1
각 사용자를 구문 분석해 볼 수 있습니다 ~/.bash_history.grep -e "$pattern" /home/*/.bash_history
sudo 명령을 보려면: tail /var/log/secure | grep username또는tail /var/log/secure | grep "$pattern"
상상할 수 있듯이 경로에 대한 액세스를 추적할 수 있습니다.감사 통제. 내 테스트 시스템 중 하나에서 이것을 시도했는데 정말 잘 작동했고 맨 페이지에서도 바로 작동했습니다.
auditctl -w "$path" -a exit,always -S open -F success=0
audit.log를 다시 구문 분석해야 합니다.grep "$pathoffileorfolder" /var/log/audit/audit.log
이것이 배포판과 함께 제공되지 않는 것을 설치하지 않고 사용하는 것입니다.