麒麟v10-ky10.x86_64�开启日志审计(audit)
如果系统默认不支持开启audit日志审计的话,我们需要按照如下方式进行设置。
1、备份配置文件 cp -r /etc/default/grub /etc/default/grub.bak
2、修改配置文件 vim /etc/default/grub,按“i”键编辑修改,移除audit=0参数,并保存
3、重新生成grub配置文件
grub2-mkconfig -o /boot/efi/EFI/kylin/grub.cfg
4、查看配置文件中是否已修改(检查生成的GRUB配置文件,以确认audit=0参数已被移除)
cat /boot/efi/EFI/kylin/grub.cfg
5、重启服务器
reboot
6、重启之后查看服务启动状态
7、编辑日志审计规则
vim /etc/audit/rules.d/audit.rules
-w /etc/passwd -p rwxa -k passwd_watch
-a always,exit -F arch=b64 -S chmod -k chmod_watch
-a always,exit -F arch=b64 -S execve -F key=login_events
8、重启audit服务
systemctl restart auditd
9、查看规则 auditctl -l
结束!!