fragen stichworte

Audited-Regel für die Anzahl der Logins

Ich benutze Debian squeeze und installiere auditd darauf.

Wenn ich aureport starte, werden immer Number of logins = 0 und Number of failed logins = 0.

angezeigt

Welche Regel sollte in Überwachungsregeln für die Aufzeichnung dieser Parameter hinzugefügt werden?

antworten

-w/var/log/faillog -p wa -k logins

-w/var/log/lastlog -p wa -k logins

Die beiden oben genannten Regeln können bei der Überwachung von Anmeldungen hilfreich sein. Wir erfassen sowohl fehlgeschlagene als auch erfolgreiche Anmeldungen