敏感目录 /etc/ /tmp/

auditctl -w /etc/shadow -p rwxa -k "SHADOW" 创建记录
auditctl -l 查看记录条目
auditctl -D 清除记录
ausearch -k "SHADOW" 查看记录
以下规则相同
auditctl -w /etc/ -p wa
auditctl -a exit,always -F dir=/etc/ -F perm=wa
登录 审计 auid不等于0 uid=0的行为 危险信号
vim /etc/rc.local
auditctl -R /etc/audit/aut.log
vim /etc/audit/aut.log
-a exit,always -F uid!=0 euid=0 -F perm=uid
-a exit,always -F auid!=0 uid=0 -F perm=auid
登录信息
aureport -l