#查看audit软件是否在运行(状态为active而且为绿色表示已经在运行)
systemctl start auditd
#如果没有在运行的话,查看是否被系统禁用 (audit为0表示被禁用)
cat /proc/cmdline | grep -w "audit=0"
#修改/etc/default/grub里面audit=0 改为audit=1
#更新GRUB,并重启
grub2-mkconfig -o /boot/grub2/grub.cfg
reboot
#重启后,再用systemct status audit 查看状态是否为active
systemctl start auditd
# 在 /etc/audit/rules.d/audit.rules 里面配置规则
1. 监控/etc/passwd文件修改
-w /etc/passwd -p wa -k identity
2. 监控/etc/shadow文件访问
-w /etc/shadow -
)
)
