====== Система Linux Auditing ======

  * [[http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html|Linux audit files to see who made changes to a file]]
  * [[http://www.xakep.ru/post/54897/|Аудит системных событий в Linux]]

Сценарий: отслеживаем события чтения/записи/добавления в файлы passwd и shadow
===== Установка и запуск системы аудита =====
<code>
# apt install auditd
</code>
===== Настройка правил аудита событий =====
<code>
# auditctl -D

# auditctl -w /etc/passwd -p rwa -k passwords-files
# auditctl -w /etc/shadow -p rwa -k passwords-files

# auditctl -l

# cat /etc/audit/audit.rules
ubuntu24/debian12# /etc/audit/rules.d/audit.rules
</code><code>
...
-w /etc/passwd -p rwa -k passwords-files
-w /etc/shadow -p rwa -k passwords-files
</code><code>
# service auditd restart
</code>

===== Генерация событий =====
<code>
user1$ touch /etc/passwd

user1$ cat /etc/shadow
</code>

===== Поиск событий =====
<code>
# cat /var/log/audit/audit.log

# ausearch -f /etc/passwd

# ausearch -k passwords-files
</code>