监控Linux文件被进程篡改

发表于 2023-01-06

最近有一台隔离环境的设备,sshd_config文件总是被修改,造成登录时间超过30秒。

这里介绍使用audit监控该文件被修改的事件。

安装audit

1# CentOS
2$ yum install -y audit
3
4# Ubuntu
5$ apt install -y audit

创建监控规则

这里使用 auditctl 命令来添加监控规则:

 1# 查看规则列表
 2$ auditctl -l
 3
 4# 添加监控规则
 5#   -w: 监控的文件
 6#   -p: 监控的事件, r=read, w=write, a=append, x=execute
 7#   -k: 监控的名称, 后续可根据该名称进行查看
 8$ auditctl -w /etc/ssh/sshd_config -p rwa -k sshd_config
 9
10# 取消监控
11$ auditctl -W /etc/ssh/sshd_config -p rwa -k sshd_config

查看监控数据

查看监控数据使用 ausearch 命令:

1# 查看监控数据
2#   -k: 规则名称
3$ ausearch -k sshd_config

结果

根据audit的监控时间,可以很明确的查看到监控对象在什么时间点被那个进程访问、修改。

上一篇 安装原生Kubernetes单机/集群版 下一篇 躺不平&卷不赢:春节期间手撕WebRDP