👁 Для серверов и рабочих станций Linux важно вести аудит событий и отслеживать попытки несанкционированного доступа. Использование auditd (Linux Auditing System) позволяет вам эффективно записывать события и отслеживать изменения в системных файлах.
📝 Пример настройки аудита с auditd:
# Установим и запустим auditd sudo apt install auditd sudo systemctl start auditd sudo systemctl enable auditd # Записываем доступ к важным файлам (например, /etc/passwd) auditctl -w /etc/passwd -p wa -k passwd_changes # Логирование команд, выполняемых пользователями auditctl -a always,exit -F arch=b64 -S execve -k exec_commands # Получение отчета о событиях ausearch -k passwd_changes ausearch -k exec_commands
📌 Как это работает:
auditctl -w /etc/passwd -p wa -k passwd_changes— отслеживает изменения или доступ к файлу/etc/passwd, который хранит информацию о пользователях системы, и записывает их в журнал с меткойpasswd_changes.auditctl -a always,exit -F arch=b64 -S execve -k exec_commands— записывает все выполненные команды пользователями на 64-битных системах, добавляя меткуexec_commandsдля дальнейшего анализа.ausearch -k passwd_changesиausearch -k exec_commands— позволяют получить отчет по меткам событий, чтобы просмотреть, что именно происходило с указанными файлами и командами.
❗️ Может быть полезно для расследования инцидентов безопасности, а также для предотвращения атак.
tags: #linux #безопасность #мониторинг
