Linux 监控文件被什么进程修改

安装: apt-get install auditd.

auditd 是后台守护进程，负责监控记录
auditctl 配置规则的工具
auditsearch 搜索查看
aureport 根据监控记录生成报表

比如，监控 /root/.ssh/authorized_keys 文件是否被修改过：

aditctl -w /root/.ssh/authorized_keys -p war -k auth_key

-w 指明要监控的文件
-p awrx 要监控的操作类型，append, write, read, execute
-k 给当前这条监控规则起个名字，方便搜索过滤

查看修改纪录：ausearch -i -k auth_key，生成报表 aureport.

相关文章：

猜你喜欢

相关资源

下载 2021-06-06
下载 2023-01-29
下载 2022-12-18

相似解决方案

热门标签

Java Python linux javascript Mysql C# Docker 算法前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库数据结构大数据 js 机器学习微服务 Android Go 程序员面试 JVM ASP.net core 云原生人工智能后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习多线程 React 架构 devops 爬虫云计算 Spring Boot LeetCode