安裝: apt-get install auditd.

1.auditd 是后臺守護(hù)進(jìn)程，負(fù)責(zé)監(jiān)控記錄
2.auditctl 配置規(guī)則的工具
3.auditsearch 搜索查看
4.aureport 根據(jù)監(jiān)控記錄生成報表

比如，監(jiān)控 /root/.ssh/authorized_keys 文件是否被修改過：

aditctl -w /root/.ssh/authorized_keys -p war -k auth_key

•-w 指明要監(jiān)控的文件
•-p awrx 要監(jiān)控的操作類型，append, write, read, execute
•-k 給當(dāng)前這條監(jiān)控規(guī)則起個名字，方便搜索過濾

查看修改紀(jì)錄：ausearch -i -k auth_key，生成報表 aureport.

以上這篇Linux 監(jiān)控文件被什么進(jìn)程修改(詳解)就是小編分享給大家的全部內(nèi)容了，希望能給大家一個參考，也希望大家多多支持腳本之家。