文章目錄
- 一、試題及考試說明
- 二、操作步驟
- 1. 啟動 Auditd 服務并設置其開機自啟
- 2. 創建一個規則來監控/etc/test/auditd_test 文件上的所有寫入操作,并給這些審計記錄加上標簽file_access
- 3. 設置審計日志保存在/etc/test/audit/audit.log
- 4. 設置審計日志的滾動機制,日志文件數目10,當文件大小超過 5MB 時進行滾動;
- 5. 嘗試修改/etc/test/auditd_test,搜索審計日志,驗證上述操作是否被正確記錄
一、試題及考試說明
假設你正在管理一臺 CentOS 服務器,需要確保服務器的安全性。作為安全措施的一部分,你需要配置 Auditd 來監控特定的系統活動,以便及時發現任何可疑行為。
- 啟動 Auditd 服務并設置其開機自啟;
- 創建一個規則來監控 /etc/test/auditd_test 文件上的所有寫入操作,并給這些審計記錄加上標簽 file_access;
- 設置審計日志保存在/etc/test/audit/audit.log;
- 設置審計日志的滾動機制,日志文件數目10,當文件大小超過 5MB 時進行滾動;
- 嘗試修改/etc/test/auditd_test,搜索審計日志,驗證上述操作是否被正確記錄。
二、操作步驟
1. 啟動 Auditd 服務并設置其開機自啟
注意,如果遇到開啟報錯,查看/etc/audit/auditd.conf配置文件第19行,如下修改解決報錯,成功開啟服務
max_log_file_action = ROTATE
systemctl start auditd // 啟動服務
systemctl enable auditd // 開機自啟動
systemctl status auditd // 查看服務狀態
2. 創建一個規則來監控/etc/test/auditd_test 文件上的所有寫入操作,并給這些審計記錄加上標簽file_access
vim /etc/audit/audit.rules // vim編輯audit.rules文件-w /etc/test/auditd_test -p wa -k file_access
auditctl -w /etc/test/auditd_test -p wa -k file_access // 臨時生效
3. 設置審計日志保存在/etc/test/audit/audit.log
vim /etc/audit/auditd.conflog_file=/etc/test/audit/audit.log
mkdir -p /etc/test/audit // 創建日志文件所在文件夾
4. 設置審計日志的滾動機制,日志文件數目10,當文件大小超過 5MB 時進行滾動;
vim /etc/audit/auditd.conf // 編輯配置文件,修改內容如下圖max_log_file= 5000max_log_file_action = rotate num_logs = 10
5. 嘗試修改/etc/test/auditd_test,搜索審計日志,驗證上述操作是否被正確記錄
setenforce 0 // 關閉selinux防火墻,selinux可能會導致auditd無法啟動
service restart auditd // 重啟auditd服務(修改完配置文件后要重啟服務)
cat >> /etc/test/auditd_test // 修改auditd_test文件
ausearch -k file_access // 查看審計結果
:FastMCP 代理服務器:構建靈活的 MCP 服務中介層)
:環境搭建與核心庫概覽)
![[ linux-系統 ] 磁盤與文件系統](http://pic.xiahunao.cn/[ linux-系統 ] 磁盤與文件系統)
 的底層工作原理)
)
`和`flatMap()`函數用法)
