Linux 监控文件被什么进程修改

安装: apt-get install auditd.

auditd 是后台守护进程，负责监控记录
auditctl 配置规则的工具
auditsearch 搜索查看
aureport 根据监控记录生成报表

比如，监控 /root/.ssh/authorized_keys 文件是否被修改过：

aditctl -w /root/.ssh/authorized_keys -p war -k auth_key

-w 指明要监控的文件
-p awrx 要监控的操作类型，append, write, read, execute
-k 给当前这条监控规则起个名字，方便搜索过滤

查看修改纪录：ausearch -i -k auth_key，生成报表 aureport.

posted @ 2016-12-05 19:42 小楼一夜听春雨阅读(5434) 评论(0) 收藏举报

刷新页面返回顶部