Инструменты пользователя

Инструменты сайта


система_linux_auditing

Система Linux Auditing

Сценарий: отслеживаем события чтения/записи/добавления в файлы passwd и shadow

Установка и запуск системы аудита

# apt install auditd

Настройка правил аудита событий

# auditctl -D

# auditctl -w /etc/passwd -p rwa -k passwords-files
# auditctl -w /etc/shadow -p rwa -k passwords-files

# cat /etc/audit/audit.rules
...
-w /etc/passwd -p rwa -k passwords-files
-w /etc/shadow -p rwa -k passwords-files
# service auditd restart

Генерация событий

user1$ touch /etc/passwd

user1$ cat /etc/shadow

Поиск событий

# cat /var/log/audit/audit.log

# ausearch -f /etc/passwd

# ausearch -k passwords-files

# ausearch -f /etc/passwd -i | grep user1 | grep touch
система_linux_auditing.txt · Последние изменения: 2017/05/29 15:31 — val