正文:
内容一:通过 yum 日志查看
# cat /var/log/yum.log
内容二:通过 rpm 命令查看
# rpm -qa --last
或者:
# rpm --query --all --last
补充:查看曾经通过 dnf 命令或者 yum 命令升级的记录
# dnf history
或者:
# yum history
# cat /var/log/yum.log
# rpm -qa --last
或者:
# rpm --query --all --last
# dnf history
或者:
# yum history
配置文件格式:
-w <command> -p x -k <search_key>
命令格式:
# auditcl -w <command> -p x -k <search_key>
(
补充:
1) 这里的 <command> 是要监控的命令
2) 这里的 <search_key> 是个标识,用于简化在 audit 日志里搜索此命令
)
配置文件的案例:
-w /usr/bin/rm -p x -k rm_command
命令案例:
# auditcl -w /usr/bin/rm -p x -k rm_command
(
补充:这里以
1) 监控 /usr/bin/rm 命令
2) 标识是 rm_command 为例
)
# augenrules
# service auditd restart
# auditctl -l
# ausearch -k rm_command
(补充:这里以查看标识为 rm_command 的 audit 日志为例)
https://access.redhat.com/solutions/3401281
# loginctl -a
SESSION UID USER SEAT TTY
27 1001 mingyuzhu pts/0
(
补充:从输出结果可以看出
1) 会话\进程的 SESSION 号码为 27
2) 创建会话\进程的用户 UID 是 1001
3) 创建会话\进程的用户是 mingyuzhu
4) 创建会话\进程的 SEAT TTY 是 pts/0
)
# loginctl terminate-session 27
(补充:这里以关闭 SESSION 号码是 27 的会话\进程为例)
# loginctl -a | grep mingyuzhu| awk '{print "loginctl terminate-session "$1;system("loginctl terminate-session "$1"")}'
# loginctl -a | grep mingyuzhu| awk '{print "loginctl terminate-session "$1;system("loginctl terminate-session "$1"")}' > /dev/null
或者:
# loginctl -a | grep mingyuzhu| `awk '{print "loginctl terminate-session "$1;system("loginctl terminate-session "$1"")}'`
[error] [/....../system-auth] has unexpected content!
[error] [/....../password-auth] has unexpected content!
[error] [/....../nsswitch.conf] has unexpected content!
[error] Unexpected changes to the configuration were detected.
[error] Refusing to activate profile unless those changes are removed or overwrite is requested.
Some unexpected changes to the configuration were detected. Use 'select' command instead.
# mv /etc/authselect/custom/password-policy /etc/authselect/custom/password-policy-backup
# authselect create-profile password-policy -b sssd --symlink-meta --symlink-pam
# authselect select custom/password-policy with-sudo with-faillock without-nullok with-mkhomedir --force
# dnf install oddjob ; systemctl enable --now oddjobd.service
# authselect apply-changes
# cat /var/log/audit/audit.log | grep test.txt
......
type=PATH msg=audit(1532475291.426:18858423)......
......
(
补充:
1) 这里以查看在 audit 日志中文件 test.txt 被修改的记录为例
2) 从这里的输出结果可以看到此次的修改记录中日志的编号是 18858423
)
# cat /var/log/audit/audit.log | grep ppid | grep 18858423
......
...... ppid=6027281 ......
......
(
补充:
1) 这里以查看在 audit 日志中和日志编号 18858423 相同的的日志里记录的 PPID 为例
2) 这里的日志编号 18858423 是在步骤一中查到的
3) 从这里的输出结果可以看到和此日志编号相同的日志里记录的 PPID 是 6027281
)
# cat /var/log/messages | grep terminal=ssh | grep 6027281
(
补充:
1) 这里以查看在系统日志中哪个用户登录系统时生成的是 PPID 6027281 为例
2) 这里的 PPID 6027281 是在步骤二中查到的
)