[步骤] 文件或目录的监控 (audit 版)

步骤一:使用 audit 监控文件或目录

1.1 在 audit 的策略里添加要监控的目录或文件

1.1.1 案例一:监控某个目录以及目录下的目录和文件
# vim /etc/audit/rules.d/audit.rules

添加以下内容:

......
-a exit,always -F dir=/tmp -F perm=rwxa

(补充:这里以监控目录 /tmp 里的目录和文件为例)

1.1.2 案例二:监控某个文件
# vim /etc/audit/rules.d/audit.rules

添加以下内容:

......
-a exit,always -S unlink -S unlinkat -S rmdir -S rename -S renameat -F path=/dev/null

(补充:这里以监控目录 /dev/null 文件为例)

1.2 让监控目录或文件的配置生效

# service auditd restart

步骤二:显示 audit 监控记录

# cat /var/log/audit


补充:记录里的
1) nametype=CREATE 字段代表创建
2) nametype=NORMAL 字段代表普通
3) nametype=DELETE 字段代表删除

或者:

# sudo ausearch -i -k user-modify

(补充:这里以显示文件被修改的记录为例)

[内容] Linux 目录的重新挂载

内容一:查看已挂载目录的状况

1.1 查看所有已挂载目录的状态

# mount

1.2 查看某个目录的挂载状态

# mount | grep /tmp

(补充:这里以查看 /tmp 目录的挂载状态为例)

内容二:重新挂载目录

1.1 手动重新挂载目录

# mount -o remount,nosuid,nodev,noexec /dev/shm


补充:
1) 这里以带 nosuid、nodev 和 noexec 参数重新挂载 /dev/shm 目录为例
2) 如果挂载的目录已经有了 nosuid、nodev 和 noexec 参数,但是想要取消这些参数,则在这里可以使用 suid、dev 和 exec 参数

1.2 开机自动重新挂载目录

# vim /etc/fstab

添加以下内容:

......
tmpfs /dev/shm tmpfs defaults,nosuid,nodev,noexec 0 0


补充:
1) 这里以带 nosuid、nodev 和 noexec 参数重新挂载 /dev/shm 目录为例
2) 如果挂载的目录已经有了 nosuid、nodev 和 noexec 参数,但是想要取消这些参数,则在这里可以使用 suid、dev 和 exec 参数