在RHEL6上针对rm命令做审计

第一:建立针对rm的审计策略:


[root@rhel63single ~]# cat /etc/audit/audit.rules
# This file contains the auditctl rules that are loaded
# whenever the audit daemon is started via the initscripts.
# The rules are simply the parameters that would be passed
# to auditctl.# First rule - delete all
-D# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 320# Feel free to add below this line. See auditctl man page
-a exit,always -F arch=b64 -S execve -F path=/bin/rm -k rm                ---------->>>此行是新加的.
[root@rhel63single ~]# auditctl -l
No rules
[root@rhel63single ~]# service auditd restart
Stopping auditd:                                           [  OK  ]
Starting auditd:                                           [  OK  ]
[root@rhel63single ~]# auditctl -l
LIST_RULES: exit,always arch=3221225534 (0xc000003e) watch=/bin/rm key=rm syscall=execve       ---------->>>>审计规则生效.

第二:执行rm操作:

[root@rhel63single ~]# touch wokao
[root@rhel63single ~]# rm -rf wokao
[root@rhel63single ~]# date
Mon Aug 15 00:46:21 CST 2016
[root@rhel63single ~]# pwd
/root
[root@rhel63single ~]#

第三:查看审计的结果:

[root@rhel63single ~]# ausearch -k rm
----
time->Mon Aug 15 00:43:41 2016
type=CONFIG_CHANGE msg=audit(1471193021.597:336): auid=0 ses=23 subj=unconfined_u:system_r:auditctl_t:s0 op="add rule" key="rm" list=4 res=1
----
time->Mon Aug 15 00:45:32 2016  ------>>>执行rm操作的时间
type=PATH msg=audit(1471193132.902:337): item=1 name=(null) inode=401817 dev=08:03 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:ld_so_t:s0
type=PATH msg=audit(1471193132.902:337): item=0 name="/bin/rm" inode=6106 dev=08:03 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:bin_t:s0
type=CWD msg=audit(1471193132.902:337):  cwd="/root"  ---->>>当前所在目录
type=EXECVE msg=audit(1471193132.902:337): argc=4 a0="rm" a1="-i" a2="-rf" a3="wokao"----->>>wokao是文件名
type=SYSCALL msg=audit(1471193132.902:337): arch=c000003e syscall=59 success=yes exit=0 a0=1b175a0 a1=1b15d80 a2=1af3e00 a3=28 items=2 ppid=2926 pid=7288 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=2 comm="rm" exe="/bin/rm" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key="rm"
[root@rhel63single ~]#

参考文档:
Oracle Linux 5 - Audit rules to log reboot command executions (文档 ID 2094229.1)

参考文档:

在RHEL6上针对rm命令做审计相关推荐

linux rm 命令删除文件恢复_Linux之恢复误删除文件
前言每当我们在生产环境服务器上执行rm命令时,总是提心吊胆的,因为一不小心执行了误删,然后就要准备跑路了,毕竟人不是机器,更何况机器也有 bug. 那么如果真的删除了不该删除的文件,比如数据库.日志 ...
CentOS中恢复rm命令误删文件
1.简介 extundelete的文件恢复工具,支持ext3/ext4双格式分区恢复. 1.extundelete的文件恢复工具,该工具最给力的一点就是支持ext3/ext4双格式分区恢复. 2. 在 ...
WAF——针对Web应用发起的攻击，包括但不限于以下攻击类型：SQL注入、XSS跨站、Webshell上传、命令注入、非法HTTP协议请求、非授权文件访问等...
核心概念 WAF Web应用防火墙(Web Application Firewall),简称WAF. Web攻击针对Web应用发起的攻击,包括但不限于以下攻击类型:SQL注入.XSS跨站.Websh ...
在 Centos6/RHEL6 上恢复 ext4 文件系统下误删除的文件
[root@xuegod63 ~]# rm -Rf / #执行不成功的, rm: 在"/" 进行递归操作十分危险 rm: 使用 --no-preserve-root 选项跳过安全模 ...
在Centos6/RHEL6上恢复ext4文件系统下误删除的文件
在Centos6/RHEL6上恢复ext4文件系统下误删除的文件 [root@GDH ~]# rm -Rf / #执行不成功的, rm: 在"/" 进行递归操作十分危险 rm: 使 ...
Linux中_Ubuntu上_使用命令总结整理_02
文章目录目录: 1.操作系统操作 1.Linux 基础 2.系统信息 3.系统负载 -- top 4.程序开机自启动服务配置 5.重定向_管道_流 6.终端其他命令 2.文件与目录操作 1.文件和目 ...
linux 擦脚印工具,linux一步一脚印---rm命令
1 命令功能(简要说明): 该命令用来删除Linux系统中的文件或目录.通常情况下rm不会删除目录,你必须通过指定参数-r或-R来删除目录.另外rm通常可以将该文件或目录恢复(注意,rm删除文件其实只 ...
php 运行外部程序_PHP在linux上执行外部命令的方法
目录: 一.PHP中调用外部命令介绍二.关于安全问题三.关于超时问题四.关于PHP运行linux环境中命令出现的问题一.PHP中调用外部命令介绍在PHP中调用外部命令,可以用,1>调用 ...
分类整理我在SF上针对某些问题作的回答
Android 资源Resource与布局Layout android:怎么实现一个控件与另一个指定控件左对齐针对你这种情况,最简单的一种办法是,设置两个TextView的宽度为固定值,且相等. L ...
Linux 命令（23）—— rm 命令
1.命令简介 rm(remove)命令用于删除文件或者目录. 使用 rm 命令要格外小心,因为一旦删除了一个文件就无法再恢复它,所以在删除文件之前,最好再看一下文件的内容,确定是否要真要删除. 2.命 ...

在RHEL6上针对rm命令做审计

在RHEL6上针对rm命令做审计相关推荐

最新文章

热门文章