WEB开发网
开发学院操作系统Linux/Unix 使用审核来跟踪对文件的读写操作 阅读

使用审核来跟踪对文件的读写操作

 2008-11-10 08:18:16 来源:WEB开发网   
核心提示: 在 /etc/security/audit/config 文件中,在 classes 部分中建立如下所示的条目: classes:abusers = S_NOTAUTH_READ, S_NOTAUTH_WRITE在 /etc/security/audit/config 文件中,使用审核来跟

在 /etc/security/audit/config 文件中,在 classes 部分中建立如下所示的条目:

classes:
  abusers = S_NOTAUTH_READ, S_NOTAUTH_WRITE

在 /etc/security/audit/config 文件中,为所有的用户添加相应的条目,如下所示:

users:
  root = general, abusers
  user1=abusers
  user2=abusers
  .
  .
  .
  userN=abusers
  

这组条目可以确保审核将报告所有用户(在这个列表中的任何用户)对 /home/test.txt 文件所执行的读写操作。如果用户的条目已经存在,那么您可以为不正常的使用者追加相应的条目,使用逗号将其与前面的条目隔开。

审核提供了两种数据监视模式:

BIN 模式:将审核事件记录到两个交换使用的临时 BIN 文件中,然后将它们追加到一个审核跟踪文件中。

STREAM 模式:将审核记录写入到循环缓冲区(该缓冲区可以通过 /dev/audit 设备文件进行读取)。

在这个场景中,除了所提供的输出格式不同之外,这两者之间并没有什么重大的区别。您可以打开任何一种模式或者同时打开两种模式以收集数据。可以通过在 etc/security/audit/config 文件中建立合适的条目来打开或者关闭它们。下面的示例打开了 STREAM 模式。

start:
    bin mode = off
    stream mode = on  

上面的步骤确保 /home/test.txt 文件处于审核子系统的观察之下。

监视输出

要对输出进行监视,首先使用下面的命令启动审核子系统:

# audit start

采用 STREAM 模式的数据收集

因为在 STREAM 模式中启用了数据收集,所以您可以通过运行下面的命令来开始数据收集工作:

上一页  1 2 3 4  下一页

Tags:使用 审核 跟踪

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接