Unter Linux gibt es ein Audit-RPM namens audit, das den auditd-Dienst bereitstellt, um die Prozesse und auch die Befehle zu überwachen. Mit Audit-RPM können wir einige einfache Dateioperationen wie Lesen, Schreiben und Ausführung überwachen. In diesem Beitrag wird eine Methode zur Überwachung des Dateizugriffs auf dem Linux-System vorgestellt. Wie „Wann wurde die Datei gelesen/geändert?“, „Wer hat die bestimmte Datei bearbeitet?“.
1. Starten Sie zuerst den auditd-Dienst, wenn er nicht läuft.
# service auditd start ### CentOS/RHEL 6 # systemctl start auditd ### CentOS/RHEL 7
2. Verwenden Sie auditctl Befehl, um anzugeben, welche Dateien Sie überwachen möchten:
# auditctl -w /etc/hosts -p war -k hostswrap
-w :Geben Sie die Datei an, die Sie prüfen/überwachen möchten.
-p :welche Operation/Berechtigung Sie prüfen/überwachen möchten, r für Lesen, w für Schreiben, x für Ausführen, a für Anhängen.
-k :Geben Sie ein Schlüsselwort für diese Überwachungsregel an. Beim Durchsuchen des Überwachungsprotokolls können Sie nach diesem Schlüsselwort suchen
3. Bitte beachten Sie, dass Änderungen, die am laufenden Überwachungssystem durch Ausführen von auditctl in der Befehlszeile vorgenommen werden, nicht über Systemneustarts hinweg bestehen bleiben. Um Änderungen dauerhaft zu machen, fügen Sie sie zu /etc/audit/audit.rules hinzu Datei und starten Sie, falls sie derzeit nicht in audit geladen sind, den auditd-Dienst neu, um den geänderten Regelsatz zu laden.
# vi /etc/audit.rules -w /etc/hosts -p war -k hostswrap
# service auditd restart ### CentOS/RHEL 6 # systemctl restart auditd ### CentOS/RHEL 7
4. Verwenden Sie die Option „l“, um die aktuellen Prüfregeln im auditd-Dienst aufzulisten.
# auditctl -l No rules AUDIT_WATCH_LIST: dev=8:5, path=/etc/hosts, filterkey=hostswrap, perms=rwa, valid=0
5. Überprüfen Sie das Audit-Log auf Zugriffe auf die Datei /etc/hosts.
# ausearch -f /etc/hosts -i | less type=FS_WATCH msg=audit(05/28/18 11:21:27.216:10) : watch_inode=4313009 watch=hosts filterkey=hostswrap perm=read,write,append perm_mask=read type=SYSCALL msg=audit(05/28/18 11:21:46.251:19) : arch=i386 syscall=open success=yes exit=5 a0=c679b5 a1=0 a2=1b6 a3=0 items=1 pid=16056 aui d=unset uid=oracle gid=dba euid=oracle suid=oracle fsuid=oracle egid=dba sgid=dba fsgid=dba comm=ons exe=/home/oracle/oracle/product/10.2.0/c rs_1/opmn/bin/ons ---- type=PATH msg=audit(05/28/18 11:21:38.697:11) : name=/etc/hosts flags=follow,access inode=4313009 dev=08:05 mode=file,644 ouid=root ogid=root rdev=00:00 type=CWD msg=audit(05/28/18 11:21:38.697:11) : cwd=/newspace/TAR/May type=FS_INODE msg=audit(05/28/18 11:21:38.697:11) : inode=4313009 inode_uid=root inode_gid=root inode_dev=08:05 inode_rdev=00:00 type=FS_WATCH msg=audit(05/28/18 11:21:38.697:11) : watch_inode=4313009 watch=hosts filterkey=hostswrap perm=read,write,append perm_mask=writ e .....
Das Protokoll zeigt die Betriebszeit, den verarbeiteten Befehl/Befehl zum Lesen/Schreiben der Datei, UID usw.