Linux 监控文件被什么进程修改(详解)
安装:apt-getinstallauditd.
1.auditd是后台守护进程,负责监控记录
2.auditctl配置规则的工具
3.auditsearch搜索查看
4.aureport根据监控记录生成报表
比如,监控/root/.ssh/authorized_keys文件是否被修改过:
aditctl-w/root/.ssh/authorized_keys-pwar-kauth_key
•-w指明要监控的文件
•-pawrx要监控的操作类型,append,write,read,execute
•-k给当前这条监控规则起个名字,方便搜索过滤
查看修改纪录:ausearch-i-kauth_key,生成报表aureport.
以上这篇Linux监控文件被什么进程修改(详解)就是小编分享给大家的全部内容了,希望能给大家一个参考,也希望大家多多支持毛票票。