#查看audit軟件是否在運行(狀態為active而且為綠色表示已經在運行)
systemctl start auditd
#如果沒有在運行的話,查看是否被系統禁用 (audit為0表示被禁用)
cat /proc/cmdline | grep -w "audit=0"
#修改/etc/default/grub里面audit=0 改為audit=1
#更新GRUB,并重啟
grub2-mkconfig -o /boot/grub2/grub.cfg
reboot
#重啟后,再用systemct status audit 查看狀態是否為active
systemctl start auditd
# 在 /etc/audit/rules.d/audit.rules 里面配置規則
1. 監控/etc/passwd文件修改
-w /etc/passwd -p wa -k identity
2. 監控/etc/shadow文件訪問
-w /etc/shadow -
)
)
