Audit

Tutoriel Auditd Linux

Tutoriel Auditd Linux
  1. Que fait Auditd sous Linux?
  2. Que peut faire Auditd?
  3. Ce qui est enregistré par Auditd?
  4. Comment activer les journaux d'audit sous Linux?
  5. Comment utiliser Ausearch Linux?
  6. Qu'est-ce qu'Audispd sous Linux?
  7. Comment savoir si l'audit est en cours d'exécution?
  8. Qu'est-ce que le démon d'audit?
  9. Qu'est-ce qu'une règle d'audit?
  10. Qu'est-ce que AUID sous Linux?
  11. Comment activer l'audit?
  12. Comment trouver des fichiers d'audit sous Linux?

Que fait Auditd sous Linux?

auditd est le composant de l'espace utilisateur du système d'audit Linux. Il est responsable de l'écriture des enregistrements d'audit sur le disque. La visualisation des journaux se fait avec les utilitaires ausearch ou aureport. La configuration du système d'audit ou le chargement des règles se fait avec l'utilitaire auditctl.

Que peut faire Auditd?

En utilisant ces catégories d'événements, vous pouvez auditer les activités telles que les authentifications, les échecs d'opérations cryptographiques, les terminaisons anormales, l'exécution du programme et les modifications SELinux. Lorsque les règles d'audit sont déclenchées, le système d'audit Linux génère un enregistrement avec une variété de champs.

Ce qui est enregistré par Auditd?

Le démon d'audit Linux (auditd) est l'application incontournable pour accéder à l'infrastructure d'audit Linux, qui existe en tant que composant d'espace utilisateur: auditd peut s'abonner aux événements du noyau en fonction de règles définies par l'utilisateur.

Comment activer les journaux d'audit sous Linux?

Solution

  1. Connectez-vous à la boîte Linux et prenez racine. ...
  2. Modifiez / etc / profile et ajoutez les lignes suivantes au bas du fichier: ...
  3. Enregistrez et quittez / etc / profile.
  4. Modifier / etc / rsyslog.conf et ajoutez les lignes suivantes au bas du fichier: ...
  5. Enregistrez et quittez / etc / rsyslog.conf.

Comment utiliser Ausearch Linux?

L'utilitaire ausearch peut également prendre l'entrée de stdin tant que l'entrée est les données de journal brutes. Chaque option de ligne de commande donnée forme une instruction "et". Par exemple, rechercher avec -m et -ui signifie retourner des événements qui ont à la fois le type demandé et correspondent à l'ID utilisateur donné.

Qu'est-ce qu'Audispd sous Linux?

audispd est un multiplexeur d'événement d'audit. ... Il prend les événements d'audit et les distribue aux programmes enfants qui souhaitent analyser les événements en temps réel. Lorsque le démon d'audit reçoit un SIGTERM ou SIGHUP, il transmet également ce signal au répartiteur. Le répartiteur transmet à son tour ces signaux à ses processus enfants.

Comment savoir si l'audit est en cours d'exécution?

Si vous n'avez pas installé les packages ci-dessus, exécutez cette commande en tant qu'utilisateur root pour les installer. Ensuite, vérifiez si auditd est activé et en cours d'exécution, émettez les commandes systemctl ci-dessous sur le terminal. Nous allons maintenant voir comment configurer auditd en utilisant le fichier de configuration principal / etc / audit / auditd. conf.

Qu'est-ce que le démon d'audit?

Le démon d'audit est un service qui enregistre les événements sur un système Linux. ... Le framework d'audit décrit dans cet article fait partie du noyau Linux et peut donc contrôler l'accès à un ordinateur jusqu'au niveau de l'appel système. Le démon d'audit peut surveiller tous les accès aux fichiers, aux ports réseau ou à d'autres événements.

Qu'est-ce qu'une règle d'audit?

Règles de contrôle - permettent de modifier le comportement du système d'audit et une partie de sa configuration. ... Les règles du système de fichiers - également appelées surveillance de fichiers, permettent l'audit de l'accès à un fichier ou à un répertoire particulier. Règles d'appel système - permettent la journalisation des appels système effectués par tout programme spécifié.

Qu'est-ce que AUID sous Linux?

Le champ auid enregistre l'ID utilisateur d'audit, c'est-à-dire loginuid. Cet ID est attribué à un utilisateur lors de la connexion et est hérité par chaque processus même lorsque l'identité de l'utilisateur change (par exemple, en changeant de compte utilisateur avec la commande su - john).

Comment activer l'audit?

Vous devriez voir une entrée étiquetée avec la clé configurée dans l'entrée de règles (Figure C). Figure C: Auditd a détecté avec succès notre modification dans le fichier hosts. Et c'est tout ce qu'il faut pour activer Auditd et ajouter une nouvelle règle au système.

Comment trouver des fichiers d'audit sous Linux?

Fichiers d'audit Linux pour voir qui a apporté des modifications à un fichier

  1. Pour utiliser la fonction d'audit, vous devez utiliser les utilitaires suivants. ...
  2. => ausearch - une commande qui peut interroger les journaux du démon d'audit en fonction d'événements basés sur différents critères de recherche.
  3. => aureport - un outil qui produit des rapports récapitulatifs des journaux du système d'audit.

Ffmpeg Comment installer et utiliser FFmpeg sur Debian 9
Comment installer et utiliser FFmpeg sur Debian 9
Les étapes suivantes décrivent comment installer FFmpeg sur Debian 9 Commencez par mettre à jour la liste des paquets sudo apt update. Installez le pa...
Apache Comment installer Apache sur CentOS 7
Comment installer Apache sur CentOS 7
Comment installer Apache HTTP sur CentOS 7? Comment démarrer Apache sur CentOS 7? Comment installer Apache httpd Linux? Comment installer manuellement...
Apache Comment installer Apache sur CentOS 8
Comment installer Apache sur CentOS 8
Installation du serveur Web Apache sur CentOS 8 Étape 1 mise à jour du référentiel de logiciels. Ouvrez une fenêtre de terminal et mettez à jour les l...