Sziasztok,
Probalnam beallitani az auditd-ben hogy mutassa ha valtozik az ido de nem hajlando.
Az alabbi parancsot hasznalom a tesztre
date -s '1 hour ago'
Es ezek az audit rule=ok amiket hasznalok
-a always,exit -F arch=b32 -S stime -F key=audit_time_rules
-a always,exit -F arch=b64 -S stime -F key=audit_time_rules
-a always,exit -F arch=b32 -S clock_settime -F a0=0x0 -F key=time-change
-a always,exit -F arch=b64 -S clock_settime -F a0=0x0 -F key=time-change
-w /etc/localtime -p wa -k audit_time_rules
-a always,exit -F arch=b32 -S adjtimex,settimeofday -F key=audit_time_rules
-a always,exit -F arch=b64 -S adjtimex,settimeofday -F key=audit_time_rules
-w /usr/bin/date -p wa -k audit_time_rules
-a always,exit -F path=/usr/sbin/pam_timestamp_check -F perm=x -F auid>=1000 -F auid!=unset -k privileged
Ennek azert bele kellene kopnie valamit az audit logba nem?
- 178 megtekintés