在Debian系统中,审计用户删除操作可以通过配置PAM(Pluggable Authentication Modules)和auditd(Linux审计守护进程)来实现。以下是具体步骤:
首先,确保你已经安装了auditd和pam_tally2(用于记录失败的登录尝试)。
sudo apt-get update
sudo apt-get install auditd pam_tally2
编辑/etc/pam.d/common-auth文件,添加以下行来启用登录失败计数:
auth required pam_tally2.so onerr=fail deny=5 unlock_time=900
这行配置表示如果用户连续5次登录失败,账户将被锁定900秒(15分钟)。
编辑/etc/audit/audit.rules文件,添加以下规则来审计用户删除操作:
-a exit,always -F arch=b32 -S unlink -S unlinkat -S rename -S renameat -k user_delete
-a exit,always -F arch=b64 -S unlink -S unlinkat -S rename -S renameat -k user_delete
这些规则会监控unlink、unlinkat、rename和renameat系统调用,这些调用通常用于删除文件和目录。-k user_delete是为这些事件定义的键,方便后续查询。
保存并关闭文件后,重启auditd服务以应用新的规则:
sudo systemctl restart auditd
你可以使用ausearch命令来查询特定的审计事件。例如,查看所有用户删除操作的日志:
sudo ausearch -k user_delete
或者,你可以查看最近的审计日志:
sudo ausearch -i
为了确保系统重启后审计规则仍然有效,可以将规则添加到/etc/audit/rules.d/audit.rules文件中,并确保该文件在启动时被加载。
你可以设置一个监控脚本,定期检查审计日志并发送警报。例如,使用cron作业每小时运行一次检查脚本:
0 * * * * /path/to/your/script.sh
在脚本中,你可以使用ausearch命令来检查特定的审计事件,并根据需要发送警报。
通过以上步骤,你可以在Debian系统中有效地审计用户删除操作。