如何配置auditd以记录与WinSCP一起运行的事件中的所有活动
如何配置auditd以记录与WinSCP一起运行的事件中的所有活动
提问于 2018-05-31 06:36:46
我有一个客户的要求(我不知道它是否可以实现,经过几天的搜索)。这是一个请求:“对于独立于用户的事件(创建、删除、更新、更改、重命名),应该扩展auditlog规则。我希望我也能看到使用WinSCP运行的事件。”
我的审计配置:
[root@host1~]# auditctl -l
-a always,exit -F arch=b64 -S execve -F euid=44055 -F key=user-activity
-a always,exit -F arch=b32 -S execve -F euid=44055 -F key=user-activity
-a always,exit -F arch=b64 -S execve -F euid=2971 -F key=user-activity
-a always,exit -F arch=b32 -S execve -F euid=2971 -F key=user-activity
-a always,exit -F arch=b64 -S execve -F euid=2961 -F key=user-activity
-a always,exit -F arch=b32 -S execve -F euid=2961 -F key=user-activity
-a always,exit -F arch=b64 -S execve -F euid=44057 -F key=user-activity
-a always,exit -F arch=b32 -S execve -F euid=44057 -F key=user-activity
-a always,exit -F arch=b64 -S execve -F euid=2341 -F key=user-activity
-a always,exit -F arch=b32 -S execve -F euid=2341 -F key=user-activity
-a always,exit -S oldlstat,swapon
-w /etc/group -p wa
-w /etc/passwd -p wa
-w /etc/shadow -p wa
-w /etc/sudoers -p wa
You have new mail in /var/spool/mail/root谢谢,最诚挚的问候,七月
回答 1
Server Fault用户
回答已采纳
发布于 2018-06-02 14:52:52
添加一个规则来查看您希望用户上传文件的目录。
-w /home -k home-events这将递归地监视/home下任何活动的所有open()标志。可能是大容量,在这种情况下,您可以选择一个更具体的目录,或使用更多的-F选项来筛选。
除非你已经锁定了sftp/scp,否则这不是他们可以上传文件的每个地方,还有/tmp。
页面原文内容由Server Fault提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://serverfault.com/questions/914556
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号