이것저것 알아보려고 노력했는데, 말처럼 쉽지 않은 상황인 것 같습니다. 현재 오류, 로그인 실패, 누가 무엇에 언제 액세스했는지 등을 보내는 서버를 설정 중입니다.
사용자가 권한을 변경하려고 할 때 사용자를 추적하는 방법을 찾으려고 노력 중입니다. Bob이 "chmod 777"을 실행했지만 파일을 변경할 수 있는 권한이 없다고 가정해 보겠습니다. 따라서 시스템이 그에게 이 작업을 수행할 수 없다고 말하는 대신 오류를 반환하고 시도가 이루어졌음을 알 수 있습니다. 오류를 어떻게 기록할 수 있으며(아직 기록되지 않은 경우) 위치는 어디에 저장됩니까? /var/로그/메시지? 아니면 원하는 대로 작동하도록 auditctl 규칙을 설정해야 합니까? 다들 감사 해요
답변1
에서 man auditctl:
To watch a file for changes (2 ways to express):
auditctl -w /etc/shadow -p wa
auditctl -a always,exit -F path=/etc/shadow -F perm=wa
- -w: 경로(예: /etc/shadow)에 파일 시스템 개체 모니터링을 삽입합니다.
- -p: 파일 시스템 모니터링을 위한 권한 필터를 설정합니다. w=쓰기, x=실행, a=속성 변경.
또한 이러한 이벤트에 대한 감사 로그를 검색하는 데 도움이 되는 -k를 추가할 수도 있습니다 ausearch.
- -k: 감사 규칙에 필터 키를 설정합니다. 필터 키는 최대 31바이트 길이의 임의 텍스트 문자열입니다. 이는 규칙에 의해 생성된 감사 레코드를 고유하게 식별합니다.
실제로 규칙을 /etc/audit/audit.rules영구적으로 만들어야 합니다. auditd또한 활성화하고 시작해야 합니다( systemctl enable auditd.service및 systemctl start auditd.service).
자세한 내용은 여기에서 확인할 수 있습니다.Red Hat 솔루션 기사. 귀하는 CentOS를 실행 중이므로 여기의 세부정보가 귀하에게 직접 적용됩니다.