文章目录
- 一、试题及考试说明
- 二、操作步骤
- 1. 启动 Auditd 服务并设置其开机自启
- 2. 创建一个规则来监控/etc/test/auditd_test 文件上的所有写入操作,并给这些审计记录加上标签file_access
- 3. 设置审计日志保存在/etc/test/audit/audit.log
- 4. 设置审计日志的滚动机制,日志文件数目10,当文件大小超过 5MB 时进行滚动;
- 5. 尝试修改/etc/test/auditd_test,搜索审计日志,验证上述操作是否被正确记录
一、试题及考试说明
假设你正在管理一台 CentOS 服务器,需要确保服务器的安全性。作为安全措施的一部分,你需要配置 Auditd 来监控特定的系统活动,以便及时发现任何可疑行为。
- 启动 Auditd 服务并设置其开机自启;
- 创建一个规则来监控 /etc/test/auditd_test 文件上的所有写入操作,并给这些审计记录加上标签 file_access;
- 设置审计日志保存在/etc/test/audit/audit.log;
- 设置审计日志的滚动机制,日志文件数目10,当文件大小超过 5MB 时进行滚动;
- 尝试修改/etc/test/auditd_test,搜索审计日志,验证上述操作是否被正确记录。
二、操作步骤
1. 启动 Auditd 服务并设置其开机自启
注意,如果遇到开启报错,查看/etc/audit/auditd.conf配置文件第19行,如下修改解决报错,成功开启服务
max_log_file_action = ROTATE
systemctl start auditd // 启动服务
systemctl enable auditd // 开机自启动
systemctl status auditd // 查看服务状态
2. 创建一个规则来监控/etc/test/auditd_test 文件上的所有写入操作,并给这些审计记录加上标签file_access
vim /etc/audit/audit.rules // vim编辑audit.rules文件-w /etc/test/auditd_test -p wa -k file_access
auditctl -w /etc/test/auditd_test -p wa -k file_access // 临时生效
3. 设置审计日志保存在/etc/test/audit/audit.log
vim /etc/audit/auditd.conflog_file=/etc/test/audit/audit.log
mkdir -p /etc/test/audit // 创建日志文件所在文件夹
4. 设置审计日志的滚动机制,日志文件数目10,当文件大小超过 5MB 时进行滚动;
vim /etc/audit/auditd.conf // 编辑配置文件,修改内容如下图max_log_file= 5000max_log_file_action = rotate num_logs = 10
5. 尝试修改/etc/test/auditd_test,搜索审计日志,验证上述操作是否被正确记录
setenforce 0 // 关闭selinux防火墙,selinux可能会导致auditd无法启动
service restart auditd // 重启auditd服务(修改完配置文件后要重启服务)
cat >> /etc/test/auditd_test // 修改auditd_test文件
ausearch -k file_access // 查看审计结果
:FastMCP 代理服务器:构建灵活的 MCP 服务中介层)
:环境搭建与核心库概览)
![[ linux-系统 ] 磁盘与文件系统](http://pic.xiahunao.cn/[ linux-系统 ] 磁盘与文件系统)
 的底层工作原理)
)
`和`flatMap()`函数用法)
