De man auditctl
:
To watch a file for changes (2 ways to express):
auditctl -w /etc/shadow -p wa
auditctl -a always,exit -F path=/etc/shadow -F perm=wa
- -w: insira um relógio para o objeto do sistema de arquivos no caminho, ou seja, / etc / shadow.
- -p: defina o filtro de permissões para uma exibição do sistema de arquivos. w = write, x = execute, a = mudança de atributo.
Você também pode adicionar -k, que ajudará na pesquisa de logs de auditoria para esses eventos usando ausearch
.
- -k: defina uma chave de filtro em uma regra de auditoria. A chave de filtro é uma cadeia de texto arbitrária que pode ter até 31 bytes de comprimento. Ele pode identificar de forma exclusiva os registros de auditoria produzidos por uma regra.
A regra precisará ser colocada em /etc/audit/audit.rules
para ser permanente. auditd
precisará ser ativado e iniciado também ( systemctl enable auditd.service
e systemctl start auditd.service
).
Você pode encontrar mais informações neste artigo da solução Red Hat . Você está rodando o CentOS, então os detalhes aqui ainda se aplicam diretamente a você.