在RHEL6.4下审计root用户的行为 方案一 薛忠权ERIKXUE

    不说废话，直接上图！

1. 修改system-auth文件

2. [root@gorhce.com Desktop]# vim /etc/pam.d/system-auth

2.修改password-auth文件

[root@Gorhce.com Desktop]# vim /etc/pam.d/password-auth

3.重启auditd服务

[root@Gorhce.com Desktop]# service auditd restart

Stopping auditd:                                           [FAILED]

Starting auditd:                                           [  OK  ]

4.测试

    （1）在server1上监控日志文件

[root@Gorhce.com Desktop]# watch -n1 aureport --tty

   （2）远程登录server1，执行下列命令

[root@Gorhce.com Desktop]# echo "www.gorhce.com" >/gorhce.com.txt

    （3）查看监控日志出现的信息