2022-09-01 18:25:24 +02:00
|
|
|
---
|
|
|
|
categories: web
|
|
|
|
title: Howto Auditd
|
|
|
|
...
|
|
|
|
|
2022-09-01 18:26:45 +02:00
|
|
|
Le Linux Auditing System est un framework d'audit des évènements systèmes intégré au noyau Linux.
|
2022-09-01 18:25:24 +02:00
|
|
|
|
|
|
|
Son composant en userspace est fournit par le paquet Debian `auditd`, qui fournit un service du même nom.
|
|
|
|
|
|
|
|
Il permet, par exemple, de surveiller et loguer l'exécution de processus, la création ou suppression de fichiers...
|
|
|
|
|
|
|
|
|
|
|
|
## Installation
|
|
|
|
|
|
|
|
~~~
|
|
|
|
# apt install auditd
|
|
|
|
~~~
|
|
|
|
|
|
|
|
|
2022-09-01 18:26:45 +02:00
|
|
|
## Configuration
|
2022-09-01 18:25:24 +02:00
|
|
|
|
|
|
|
Auditd se configure avec des règles, qui vont loguer les évènements demandés.
|
|
|
|
|
|
|
|
Les règles doivent se placer dans des fichiers `/etc/audit/rules.d/*.rules`.
|
|
|
|
|
|
|
|
**Attention :** Selon des types d'évènement logués, les logs peuvent devenir très volumineux.
|
|
|
|
|
|
|
|
|
2022-09-01 18:26:45 +02:00
|
|
|
### Surveiller les renommages et suppressions de fichiers
|
2022-09-01 18:25:24 +02:00
|
|
|
|
|
|
|
Créer un fichier `/etc/audit/rules.d/rm.rules` contenant :
|
|
|
|
|
|
|
|
~~~
|
|
|
|
## First rule - delete all
|
|
|
|
-D
|
|
|
|
|
|
|
|
## Increase the buffers to survive stress events.
|
|
|
|
## Make this bigger for busy systems
|
|
|
|
-b 8192
|
|
|
|
|
|
|
|
## This determine how long to wait in burst of events
|
|
|
|
--backlog_wait_time 0
|
|
|
|
|
|
|
|
## Set failure mode to syslog
|
|
|
|
-f 1
|
|
|
|
|
|
|
|
# Monitor rename and deletion of files in directory <PATH>
|
|
|
|
-a always,exit -F dir=<PATH> -S unlink -S unlinkat -S rename -S renameat -S rmdir -k <MY_CUSTOM_VAR>
|
|
|
|
~~~
|
|
|
|
|
|
|
|
Et recharger le service :
|
|
|
|
|
|
|
|
~~~
|
|
|
|
systemctl status auditd
|
|
|
|
~~~
|
|
|
|
|
|
|
|
## Visualiser les évènements loggés
|
|
|
|
|
2022-09-01 18:26:45 +02:00
|
|
|
Les logs se trouvent dans `/var/log/audit/audit.log`.
|
2022-09-01 18:25:24 +02:00
|
|
|
|
|
|
|
On peut utiliser `ausearch` qui fournit des options de recherche avancées. Par exemple, si on a définit un mot clé dans la règle :
|
|
|
|
|
|
|
|
~~~
|
|
|
|
ausearch -k <MY_CUSTOM_VAR>
|
|
|
|
~~~
|
|
|
|
|