在Linux系統(tǒng)中�,要在執(zhí)行revoke命令后進(jìn)行審計(jì)跟蹤��,可以使用auditd服務(wù)
- 首先�����,確保已經(jīng)安裝了
auditd服務(wù)。在大多數(shù)Linux發(fā)行版中����,可以使用包管理器(如apt、yum或zypper)來(lái)安裝���。例如����,在基于Debian的系統(tǒng)上���,可以使用以下命令安裝:
sudo apt-get install auditd audispd-plugins
- 啟動(dòng)并啟用
auditd服務(wù):
sudo systemctl start auditd
sudo systemctl enable auditd
- 添加審計(jì)規(guī)則以跟蹤
revoke命令的執(zhí)行��。編輯/etc/audit/rules.d/audit.rules文件�,添加以下內(nèi)容:
-a exit,always -F arch=b64 -S revoke -k revoke_cmd
-a exit,always -F arch=b32 -S revoke -k revoke_cmd
這里,-a exit,always表示在每次系統(tǒng)調(diào)用結(jié)束時(shí)都會(huì)記錄事件���;-F arch=b64和-F arch=b32分別表示針對(duì)64位和32位架構(gòu)的系統(tǒng)調(diào)用����;-S revoke表示監(jiān)控revoke系統(tǒng)調(diào)用�;-k revoke_cmd是自定義的關(guān)鍵字,用于在審計(jì)日志中過(guò)濾相關(guān)事件���。
- 重新啟動(dòng)
auditd服務(wù)以應(yīng)用更改:
sudo systemctl restart auditd
- 現(xiàn)在�,當(dāng)有人執(zhí)行
revoke命令時(shí)�,審計(jì)日志將記錄相關(guān)信息。你可以通過(guò)以下命令查看審計(jì)日志:
sudo ausearch -k revoke_cmd
這將顯示與revoke_cmd關(guān)鍵字相關(guān)的所有審計(jì)事件����。你可以根據(jù)需要對(duì)輸出進(jìn)行過(guò)濾和格式化。
請(qǐng)注意����,這些步驟可能因不同的Linux發(fā)行版而有所不同。請(qǐng)參考你所使用的發(fā)行版的文檔以獲取更詳細(xì)的說(shuō)明����。
