不说废话,直接上图!


  1. 修改system-auth文件

  2. [[email protected] Desktop]# vim /etc/pam.d/system-auth


在RHEL6.4下审计root用户的行为 方案一 薛忠权ERIKXUE_第1张图片

2.修改password-auth文件

[[email protected] Desktop]# vim /etc/pam.d/password-auth

在RHEL6.4下审计root用户的行为 方案一 薛忠权ERIKXUE_第2张图片

3.重启auditd服务


[[email protected] Desktop]# service auditd restart

Stopping auditd:                                           [FAILED]

Starting auditd:                                           [  OK  ]


4.测试

    (1)在server1上监控日志文件

[[email protected] Desktop]# watch -n1 aureport --tty

在RHEL6.4下审计root用户的行为 方案一 薛忠权ERIKXUE_第3张图片

   (2)远程登录server1,执行下列命令

[[email protected] Desktop]# echo "www.gorhce.com" >/gorhce.com.txt

    (3)查看监控日志出现的信息

在RHEL6.4下审计root用户的行为 方案一 薛忠权ERIKXUE_第4张图片