在RHEL6.4下审计root用户的行为 方案一 薛忠权ERIKXUE

    不说废话，直接上图！

1. 修改system-auth文件

2. [[email protected] Desktop]# vim /etc/pam.d/system-auth

2.修改password-auth文件

[[email protected] Desktop]# vim /etc/pam.d/password-auth

3.重启auditd服务

[[email protected] Desktop]# service auditd restart

Stopping auditd:                                           [FAILED]

Starting auditd:                                           [  OK  ]

4.测试

    （1）在server1上监控日志文件

[[email protected] Desktop]# watch -n1 aureport --tty

   （2）远程登录server1，执行下列命令

[[email protected] Desktop]# echo "www.gorhce.com" >/gorhce.com.txt

    （3）查看监控日志出现的信息