0
터미널과 직렬 포트에서 어떤 명령을 입력했는지 확인하려고합니다. 이를 위해 나는 파일 감사에 도움이되는 auditd 데몬을 사용하고 있습니다.auditcl 데몬을 사용하여 장치 파일 감사
나는 터미널과 시리얼 장치에서 각각 일어나는 일들을보기 위해/dev/tty와/dev/ttyAMA0에 대한 감사 규칙을 만들 것을 생각했다.
auditctl -w /dev/ttyAMA0 -p rwx -k serialport
auditctl -w /dev/tty -p rwx -k terminal
session required pam_tty_audit.so enable=*
을 추가하여 PAM 파일의 tty 로깅을 활성화했습니다.
이 감사를 수행하는 다른 방법이 있습니까? 모든 감사 로그가 하나의 파일에 포함되도록 auditd 데몬 만 사용하려고합니다.
이 작업은'auditctl -a exit, always -F euid = 0 -S execve '로 수행했지만 모든 시스템 호출을 기록합니다. 어쨌든 그것을 걸러 낼 수 있습니까? – user2314946