最近有一台隔离环境的设备,sshd_config文件总是被修改,造成登录时间超过30秒。
这里介绍使用audit监控该文件被修改的事件。
1# CentOS
2$ yum install -y audit
3
4# Ubuntu
5$ apt install -y audit
这里使用 auditctl
命令来添加监控规则:
1# 查看规则列表
2$ auditctl -l
3
4# 添加监控规则
5# -w: 监控的文件
6# -p: 监控的事件, r=read, w=write, a=append, x=execute
7# -k: 监控的名称, 后续可根据该名称进行查看
8$ auditctl -w /etc/ssh/sshd_config -p rwa -k sshd_config
9
10# 取消监控
11$ auditctl -W /etc/ssh/sshd_config -p rwa -k sshd_config
查看监控数据使用 ausearch
命令:
1# 查看监控数据
2# -k: 规则名称
3$ ausearch -k sshd_config
根据audit的监控时间,可以很明确的查看到监控对象在什么时间点被那个进程访问、修改。