脚本宝典收集整理的这篇文章主要介绍了Linux 监控文件被什么进程修改(详解),脚本宝典觉得挺不错的,现在分享给大家,也给大家做个参考。
1.auditd 是后台守护进程,负责监控记录
2.auditctl 配置规则的工具
3.auditseArch 搜索查看
4.aureport 根据监控记录生成报表
比如,监控 /root/.ssh/authorized_keys 文件是否被修改过:
aditctl -w /root/.ssh/authorized_keys -p war -k auth_key
•-w 指明要监控的文件
•-p awrx 要监控的操作类型,apPEnd, write, read, execute
•-k 给当前这条监控规则起个名字,方便搜索过滤
查看修改纪录:ausearch -i -k auth_key,生成报表 aureport.
以上这篇Linux 监控文件被什么进程修改(详解)就是小编分享给大家的全部内容了,希望能给大家一个参考,也希望大家多多支持脚本宝典。
以上是脚本宝典为你收集整理的Linux 监控文件被什么进程修改(详解)全部内容,希望文章能够帮你解决Linux 监控文件被什么进程修改(详解)所遇到的问题。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。