在RHEL6上针对rm命令做审计
第一:建立针对rm的审计策略:
[root@rhel63single ~]# cat /etc/audit/audit.rules
# This file contains the auditctl rules that are loaded
# whenever the audit daemon is started via the initscripts.
# The rules are simply the parameters that would be passed
# to auditctl.# First rule - delete all
-D# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 320# Feel free to add below this line. See auditctl man page
-a exit,always -F arch=b64 -S execve -F path=/bin/rm -k rm ---------->>>此行是新加的.
[root@rhel63single ~]# auditctl -l
No rules
[root@rhel63single ~]# service auditd restart
Stopping auditd: [ OK ]
Starting auditd: [ OK ]
[root@rhel63single ~]# auditctl -l
LIST_RULES: exit,always arch=3221225534 (0xc000003e) watch=/bin/rm key=rm syscall=execve ---------->>>>审计规则生效.
第二:执行rm操作:
[root@rhel63single ~]# touch wokao
[root@rhel63single ~]# rm -rf wokao
[root@rhel63single ~]# date
Mon Aug 15 00:46:21 CST 2016
[root@rhel63single ~]# pwd
/root
[root@rhel63single ~]#
第三:查看审计的结果:
[root@rhel63single ~]# ausearch -k rm
----
time->Mon Aug 15 00:43:41 2016
type=CONFIG_CHANGE msg=audit(1471193021.597:336): auid=0 ses=23 subj=unconfined_u:system_r:auditctl_t:s0 op="add rule" key="rm" list=4 res=1
----
time->Mon Aug 15 00:45:32 2016 ------>>>执行rm操作的时间
type=PATH msg=audit(1471193132.902:337): item=1 name=(null) inode=401817 dev=08:03 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:ld_so_t:s0
type=PATH msg=audit(1471193132.902:337): item=0 name="/bin/rm" inode=6106 dev=08:03 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:bin_t:s0
type=CWD msg=audit(1471193132.902:337): cwd="/root" ---->>>当前所在目录
type=EXECVE msg=audit(1471193132.902:337): argc=4 a0="rm" a1="-i" a2="-rf" a3="wokao"----->>>wokao是文件名
type=SYSCALL msg=audit(1471193132.902:337): arch=c000003e syscall=59 success=yes exit=0 a0=1b175a0 a1=1b15d80 a2=1af3e00 a3=28 items=2 ppid=2926 pid=7288 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=2 comm="rm" exe="/bin/rm" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key="rm"
[root@rhel63single ~]#
参考文档:
Oracle Linux 5 - Audit rules to log reboot command executions (文档 ID 2094229.1)
在RHEL6上针对rm命令做审计相关推荐
- linux rm 命令删除文件恢复_Linux之恢复误删除文件
前言 每当我们在生产环境服务器上执行rm命令时,总是提心吊胆的,因为一不小心执行了误删,然后就要准备跑路了,毕竟人不是机器,更何况机器也有 bug. 那么如果真的删除了不该删除的文件,比如数据库.日志 ...
- CentOS中恢复rm命令误删文件
1.简介 extundelete的文件恢复工具,支持ext3/ext4双格式分区恢复. 1.extundelete的文件恢复工具,该工具最给力的一点就是支持ext3/ext4双格式分区恢复. 2. 在 ...
- WAF——针对Web应用发起的攻击,包括但不限于以下攻击类型:SQL注入、XSS跨站、Webshell上传、命令注入、非法HTTP协议请求、非授权文件访问等...
核心概念 WAF Web应用防火墙(Web Application Firewall),简称WAF. Web攻击 针对Web应用发起的攻击,包括但不限于以下攻击类型:SQL注入.XSS跨站.Websh ...
- 在 Centos6/RHEL6 上恢复 ext4 文件系统下误删除的文件
[root@xuegod63 ~]# rm -Rf / #执行不成功的, rm: 在"/" 进行递归操作十分危险 rm: 使用 --no-preserve-root 选项跳过安全模 ...
- 在Centos6/RHEL6上恢复ext4文件系统下误删除的文件
在Centos6/RHEL6上恢复ext4文件系统下误删除的文件 [root@GDH ~]# rm -Rf / #执行不成功的, rm: 在"/" 进行递归操作十分危险 rm: 使 ...
- Linux中_Ubuntu上_使用命令总结整理_02
文章目录 目录: 1.操作系统操作 1.Linux 基础 2.系统信息 3.系统负载 -- top 4.程序开机自启动服务配置 5.重定向_管道_流 6.终端其他命令 2.文件与目录操作 1.文件和目 ...
- linux 擦脚印工具,linux一步一脚印---rm命令
1 命令功能(简要说明): 该命令用来删除Linux系统中的文件或目录.通常情况下rm不会删除目录,你必须通过指定参数-r或-R来删除目录.另外rm通常可以将该文件或目录恢复(注意,rm删除文件其实只 ...
- php 运行外部程序_PHP在linux上执行外部命令的方法
目录: 一.PHP中调用外部命令介绍 二.关于安全问题 三.关于超时问题 四.关于PHP运行linux环境中命令出现的问题 一.PHP中调用外部命令介绍 在PHP中调用外部命令,可以用,1>调用 ...
- 分类整理我在SF上针对某些问题作的回答
Android 资源Resource与布局Layout android:怎么实现一个控件与另一个指定控件左对齐 针对你这种情况,最简单的一种办法是,设置两个TextView的宽度为固定值,且相等. L ...
- Linux 命令(23)—— rm 命令
1.命令简介 rm(remove)命令用于删除文件或者目录. 使用 rm 命令要格外小心,因为一旦删除了一个文件就无法再恢复它,所以在删除文件之前,最好再看一下文件的内容,确定是否要真要删除. 2.命 ...
最新文章
- Spring Boot 2.X 实现文件上传(三)
- SQL Server-聚焦sp_executesql执行动态SQL查询性能真的比exec好?
- 中青旅:在线旅游行业如何选型数据分析平台?
- mysql5.7运行按钮_MySQL 5.7.* 启动问题
- 《Cisco防火墙》一8.7 通过NAT规则定义连接限制
- esxi命令关机虚拟机_虚拟机镜像使用说明
- 关于suitescript 无法读取Item Number Field
- 网页浏览器主要通过ftp协议同网页服务器,FTP协议的工具、网页浏览器和命令
- Android流量监控以及流量防火墙的概述
- Java实现Excel文件导出或者下载
- 中国大陆身份证正则表达式(严格验证省份和日期)
- itextpdf 给pdf文档添加图片
- 心率监测仪全国产化电子元件推荐方案
- 烽火HG680-MC_TTL免费升级固件及教程
- MySQL重做日志文件放在磁盘_重做日志文件
- 机构树的数据库设计与查询构想-使用递归算法
- gh ost mysql_MySQL DDL--gh-ost学习
- Windows系统远程连接Linux系统操作
- C语言学习(三)内存初识、数据在内存中的保存形式、程序载入内存
- 红旗linux 安装教程,红旗linux安装教程,红旗linux9
热门文章
- WPF实例系列一:登录、注册界面设计
- Web程序设计(第三版)课后习题答案
- exoplay切换全屏_如何使用rotation-degrees手动旋转(rotate)exoplayer2播放器
- 【软考】专栏导读(软考全面介绍、资格报考建议)
- 马哥linux35期,马哥Linux第五周
- 过采样:SMOTE算法
- 2020 数学建模国赛 B 题参考思路
- WPS快捷键提高工作效率
- word html 预览 打印出来,word预览时文字在表格中,打印出来却没有.doc
- MCSA / Windows Server 2016 PowerShell DSC