Security
auditctl - 使用者註銷時記錄
當使用者使用 Auditctl 在 Linux 上註銷會話時是否可以記錄?
我目前
audit.rules
與使用者相關的是:-w /etc/login.defs -p xwa -k login -w /etc/securetty -p xwa -k login -w /var/log/faillog -p xwa -k login -w /var/log/lastlog -p xwa -k login -w /var/log/tallylog -p xwa -k login -w /var/log/secure -p xwa -k login
我看不到任何明顯的東西
/var/log
,所以我認為這需要更多配置?
這在很大程度上取決於您使用的作業系統/發行版:
- Fedora 20 和 RHEL7 使用
systemd
,因此可以使用以下命令查看所有登錄/註銷操作journalctl
:Jul 17 11:14:08 pris.crapsteak.org login[23256]: pam_unix(login:session): session opened for user root by LOGIN(uid=0) Jul 17 11:14:08 pris.crapsteak.org login[23256]: ROOT LOGIN ON tty2 Jul 17 11:14:26 pris.crapsteak.org login[23256]: pam_unix(login:session): session closed for user root
- 在 RHEL6 中,這些操作被記錄到
/var/log/auth.log
.對於特定於 的配置
auditd
,請查看Scott Pack 對審計系統的精彩介紹,來自該文章中的範例配置:-w /var/run/utmp -p wa -k session -w /var/log/wtmp -p wa -k session -w /var/log/btmp -p wa -k session
接下來的三個文件(utmp、wtmp、btmp)分別儲存每個使用者的目前登錄狀態、登錄/註銷歷史和失敗的登錄嘗試。因此,監控這些將讓我們知道任何時候使用帳戶,或登錄嘗試失敗,或者更具體地說,每當這些文件被更改時,包括惡意覆蓋軌道。