要設置auditd的審計規則,請按照以下步驟進行:
編輯audit規則文件:運行命令sudo vi /etc/audit/rules.d/audit.rules來編輯audit規則文件。您可以根據需要添加新的審計規則或修改現有規則。
添加審計規則:在audit規則文件中,您可以添加規則來監控特定的系統操作,如文件訪問、用戶登錄、進程創建等。例如,要監控所有用戶的文件訪問操作,可以添加以下規則:
-a always,exit -F arch=b64 -S open -F success=0
保存并退出文件:在編輯完規則后,按Esc鍵,然后輸入:wq保存并退出文件。
應用新規則:運行命令sudo systemctl restart auditd來重新啟動auditd服務以使新規則生效。
檢查審計規則:運行命令sudo auditctl -l來列出當前生效的審計規則,確保您的新規則已經添加成功。
通過以上步驟,您可以成功設置auditd的審計規則來監控系統操作并增強系統的安全性。
