-
Use o pacote de auditoria para realizar essa tarefa.
-
Verifique se o serviço
auditd
está sendo executado e defina para iniciar na inicializaçãochkconfig auditd on
-
Defina uma observação no arquivo necessário a ser monitorado usando o
auditctl
command: Por exemplo,
auditctl -w /etc/hosts -p war -k monitor-hosts
Isto é:
-
auditctl
: o comando usado para adicionar entradas ao banco de dados de auditoria. -
-w
: insira um relógio para o objeto do sistema de arquivos no caminho, ou seja,/etc/hosts
. -
-p
: defina o filtro de permissões para uma inspeção do sistema de arquivos. r = ler, w = escrever, x = executar, a = alteração de atributo. -
-k
: defina uma chave de filtro em uma regra de auditoria. A chave de filtro é uma cadeia de texto arbitrária que pode ter até 31 bytes de comprimento. Ele pode identificar de forma exclusiva os registros de auditoria produzidos por uma regra.
Observe que você deve adicionar sua regra a /etc/audit/audit.rules
no RHEL5 ou RHEL6 (ou /etc/audit.rules
no RHEL4) para que eles persistam após a reinicialização.
Há outra resposta por Stéphane Chazelas, você pode ver também o que pode ajudar.