敏感目录 /etc/ /tmp/
auditctl -w /etc/shadow -p rwxa -k "SHADOW" 创建记录auditctl -l 查看记录条目auditctl -D 清除记录ausearch -k "SHADOW" 查看记录以下规则相同auditctl -w /etc/ -p waauditctl -a exit,always -F dir=/etc/ -F perm=wa登录 审计 auid不等于0 uid=0的行为 危险信号vim /etc/rc.localauditctl -R /etc/audit/aut.logvim /etc/audit/aut.log -a exit,always -F uid!=0 euid=0 -F perm=uid-a exit,always -F auid!=0 uid=0 -F perm=auid登录信息aureport -l