使用 auditcl 守护进程审计设备文件
Auditing device files using auditcl daemon
我正在尝试查看在我的终端和串行端口中输入了哪些命令。为此,我正在使用 auditd 守护进程,它可以帮助我审核文件。
我想在 /dev/tty 和 /dev/ttyAMA0 上创建审核规则,以分别查看终端和串行设备上发生的情况。
auditctl -w /dev/tty -p rwx -k terminal
auditctl -w /dev/ttyAMA0 -p rwx -k serialport
但这只记录了 tty 上的回显。我无法审核在终端上键入的所有命令。我也通过在 /etc/pam.d/sshd 文件中添加 session required pam_tty_audit.so enable=* 来启用 PAM 文件中的 tty 日志记录。
是否有任何其他方法可以进行此审核。我只想使用 auditd 守护进程,以便我所有的审计日志都在一个文件中。
auditctl -a exit,always -S execve 为我完成了这项工作。但是它创建了太多日志,所以想知道如何删除后台进程创建的日志
我正在尝试查看在我的终端和串行端口中输入了哪些命令。为此,我正在使用 auditd 守护进程,它可以帮助我审核文件。
我想在 /dev/tty 和 /dev/ttyAMA0 上创建审核规则,以分别查看终端和串行设备上发生的情况。
auditctl -w /dev/tty -p rwx -k terminal
auditctl -w /dev/ttyAMA0 -p rwx -k serialport
但这只记录了 tty 上的回显。我无法审核在终端上键入的所有命令。我也通过在 /etc/pam.d/sshd 文件中添加 session required pam_tty_audit.so enable=* 来启用 PAM 文件中的 tty 日志记录。
是否有任何其他方法可以进行此审核。我只想使用 auditd 守护进程,以便我所有的审计日志都在一个文件中。
auditctl -a exit,always -S execve 为我完成了这项工作。但是它创建了太多日志,所以想知道如何删除后台进程创建的日志