Sledovanie manipulácie súborov – auditd
Démon auditd je v štandardnej inštalácii RedHat a jeho použitie je jednoduché. Trapuje rozne syscalls podľa želania. Má široké použitie, nielen na sledovanie súborov, ale mňa momentálne zaujíma toto.
auditd
Démon sa spúšťa pomocí initu pri štarte (preberá nastavenia z hlavného konfigu), pre jeho využitie sú podstatné 2 príkazy:
auditctl – kontrolér, ktorým sa mení beh démona (start/stop/restart), alebo zadávajú hneď nové audit rules. Pokiaľ majú byť rules perzistentné, tak do /etc/audit/audit.rules
ausearch – utilita k vyhľadávaniu info z následných logov. Logy sú dosť ukecané a neprehľadné, takže listovať v nich ručne je celkom peklo. Našťastie dosť filtrovacích prepínačov (viď ten man link)
súbory
- hlavný konfigurák démona v /etc/audit/auditd.conf
- samotné trapy dát vo /var/log/audit/
jak na súbor (platí aj pre zložku)
auditctl -w /home/dobo/tajny_file -k abrakadabra -p xwra /*zapína sledovanie súboru tajny_file a záznamy v logu budú s flagom “abrakadabra”; prepínač =p definuje, že budú sledované pokusy zapisovať (w), čítať (r) a šahať (a) na súbor */
ausearch -k abrakadabra -p xwra /*vysledovanie záznamu s keywordom abrakadabra*/
a co takové aide? https://en.wikipedia.org/wiki/Advanced_Intrusion_Detection_Environment
shalom
2 Oct 16 at 3:02
/etc/audit/audit.d/ – je podardresar pre rules, ktore nie su v hlavnom konfe. Ma to zaludnost, ze sa to automaticky nenacita, je nutne mat spustenu utilitku /sbin/augenrules.
Via info – http://man7.org/linux/man-pages/man8/augenrules.8.html
dobo
12 Nov 19 at 8:16