db.dobo.sk

Sledovanie manipulácie súborov – auditd

1 komentár

Démon auditd je v štandardnej inštalácii RedHat a jeho použitie je jednoduché. Trapuje rozne syscalls podľa želania. Má široké použitie, nielen na sledovanie súborov, ale mňa momentálne zaujíma toto.

auditd

Démon sa spúšťa pomocí initu pri štarte (preberá nastavenia z hlavného konfigu), pre jeho využitie sú podstatné 2 príkazy:
auditctl – kontrolér, ktorým sa mení beh démona (start/stop/restart), alebo zadávajú hneď nové audit rules. Pokiaľ majú byť rules perzistentné, tak do /etc/audit/audit.rules
ausearch – utilita k vyhľadávaniu info z následných logov. Logy sú dosť ukecané a neprehľadné, takže listovať v nich ručne je celkom peklo. Našťastie dosť filtrovacích prepínačov (viď ten man link)

súbory

  • hlavný konfigurák démona v /etc/audit/auditd.conf
  • samotné trapy dát vo /var/log/audit/

jak na súbor (platí aj pre zložku)

auditctl -w /home/dobo/tajny_file -k abrakadabra -p xwra  /*zapína sledovanie súboru tajny_file a záznamy v logu budú s flagom “abrakadabra”; prepínač =p definuje, že budú sledované pokusy zapisovať (w), čítať (r) a šahať (a) na súbor */

ausearch -k abrakadabra -p xwra /*vysledovanie záznamu s keywordom abrakadabra*/

píše: ďobo

Apríl 6th, 2016 o 2:17 pm

chlievik: linux,redhat

1 odpoveď to 'Sledovanie manipulácie súborov – auditd'

Subscribe to comments with RSS or TrackBack to 'Sledovanie manipulácie súborov – auditd'.

  1. shalom

    2 Okt 16 at 3:02

okomentuj