GNU/Linux >> Tutoriels Linux >  >> Linux

Comment auditer les modifications apportées aux fichiers et les exécutions de fichiers sous Linux

Auditd est le composant d'espace utilisateur du système d'audit Linux. Il est responsable de l'écriture des enregistrements d'audit sur le disque. La visualisation des logs se fait avec le ausearch ou aureport utilitaires. La configuration des règles d'audit s'effectue avec l'utilitaire auditctl. Au démarrage, les règles dans /etc/audit/rules.d/audit.rules sont lus par auditctl. Le démon d'audit lui-même dispose de certaines options de configuration que l'administrateur peut souhaiter personnaliser. Ils se trouvent dans le fichier /etc/audit/rules.d/auditd.conf fichier.

Sur CentOS/RHEL 6, le fichier de configuration est /etc/audit/audit.rules au lieu de /etc/audit/rules.d/audit.rules.

Cet article décrira les étapes pour permettre au service auditd du système d'exploitation Linux de suivre les événements de fichiers tels que l'exécution, la lecture, l'écriture, etc. Par exemple, si vous souhaitez suivre le fichier /etc/hosts, suivez les étapes décrites ci-dessous.

1. Vérifiez que le service auditd est démarré.

# service auditd status 
auditd (pid 2311) is running...

2. S'il n'est pas en cours d'exécution, démarrez-le :

# service auditd start

3. exécutez la commande auditctl pour commencer à auditer le fichier /etc/hosts. La syntaxe est la suivante :

# auditctl -w /etc/hosts -p war -k hosts-file

Ici,
-w – pointez vers un fichier (utilisez le chemin complet) à surveiller/auditer.
-p – définir l'autorisation d'audit, r pour lire, w pour écrire, x pour exécuter, a pour ajouter.
-k – un mot clé pour enregistrer les informations d'audit.

4. Vérifions si la règle d'audit est correctement définie. Lisez et écrivez une nouvelle entrée dans le fichier /etc/hosts, puis vérifiez les informations d'audit dans /var/log/messages

# vi /etc/hosts
# ausearch -i -f /etc/hosts
.....
type=PATH msg=audit(05/22/08 18:24:01.071:83) : name=/etc/hosts flags=follow,open inode=4313009 dev=08:05 mode=file,644 ouid=root ogid=root rdev=00:00
type=FS_INODE msg=audit(05/22/08 18:24:01.071:83) : inode=4313009 inode_uid=root inode_gid=root inode_dev=08:05 inode_rdev=00:00
type=FS_WATCH msg=audit(05/22/08 18:24:01.071:83) : watch_inode=4313009 watch=hosts filterkey=testhost perm=read,write,append perm_mask=read
....
Comment identifier l'utilisateur qui supprime des fichiers d'un répertoire donné sous Linux


Linux

  1. Comment supprimer des fichiers et des répertoires sous Linux à partir de la ligne de commande

  2. Comment diviser et combiner des fichiers à partir de la ligne de commande sous Linux

  3. Comment extraire les fichiers .gz et .tar.gz sous Linux

  4. Comment archiver et compresser des fichiers sous Linux

  5. Comment auditer l'accès aux fichiers sous Linux

Comment renommer un ou plusieurs fichiers sous Linux

Comment installer et utiliser Okteta pour les fichiers de données RAW sous Linux

Comment ouvrir des fichiers et des dossiers en tant qu'administrateur dans Nautilus File Manager sous Linux

Comment renommer des fichiers et des répertoires sous Linux

Comment copier des fichiers et des répertoires dans un terminal Linux

Comment compresser un fichier sous Linux