auditctl - 使用者註銷時記錄

當使用者使用 Auditctl 在 Linux 上註銷會話時是否可以記錄？

我目前audit.rules與使用者相關的是：

-w /etc/login.defs -p xwa -k login
-w /etc/securetty -p xwa -k login
-w /var/log/faillog -p xwa -k login
-w /var/log/lastlog -p xwa -k login
-w /var/log/tallylog -p xwa -k login
-w /var/log/secure -p xwa -k login

我看不到任何明顯的東西/var/log，所以我認為這需要更多配置？

這在很大程度上取決於您使用的作業系統/發行版：

• Fedora 20 和 RHEL7 使用systemd，因此可以使用以下命令查看所有登錄/註銷操作journalctl：

Jul 17 11:14:08 pris.crapsteak.org login[23256]: pam_unix(login:session): session opened for user root by LOGIN(uid=0)
Jul 17 11:14:08 pris.crapsteak.org login[23256]: ROOT LOGIN ON tty2
Jul 17 11:14:26 pris.crapsteak.org login[23256]: pam_unix(login:session): session closed for user root

• 在 RHEL6 中，這些操作被記錄到/var/log/auth.log.

對於特定於 的配置auditd，請查看Scott Pack 對審計系統的精彩介紹，來自該文章中的範例配置：

-w /var/run/utmp -p wa -k session
-w /var/log/wtmp -p wa -k session
-w /var/log/btmp -p wa -k session

接下來的三個文件（utmp、wtmp、btmp）分別儲存每個使用者的目前登錄狀態、登錄/註銷歷史和失敗的登錄嘗試。因此，監控這些將讓我們知道任何時候使用帳戶，或登錄嘗試失敗，或者更具體地說，每當這些文件被更改時，包括惡意覆蓋軌道。

引用自：https://serverfault.com/questions/613267