This shows you the differences between two versions of the page.
Both sides previous revision Previous revision Next revision | Previous revision Next revision Both sides next revision | ||
система_linux_auditing [2013/11/26 10:43] val [Настройка правил аудита событий] |
система_linux_auditing [2017/05/29 15:31] val [Поиск событий] |
||
---|---|---|---|
Line 1: | Line 1: | ||
====== Система Linux Auditing ====== | ====== Система Linux Auditing ====== | ||
- | * [[http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html]] | + | * [[http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html|Linux audit files to see who made changes to a file]] |
- | * [[http://www.xakep.ru/post/54897/]] | + | * [[http://www.xakep.ru/post/54897/|Аудит системных событий в Linux]] |
Сценарий: отслеживаем события чтения/записи/добавления в файлы passwd и shadow | Сценарий: отслеживаем события чтения/записи/добавления в файлы passwd и shadow | ||
===== Установка и запуск системы аудита ===== | ===== Установка и запуск системы аудита ===== | ||
<code> | <code> | ||
- | # apt-get install auditd | + | # apt install auditd |
</code> | </code> | ||
===== Настройка правил аудита событий ===== | ===== Настройка правил аудита событий ===== | ||
Line 22: | Line 22: | ||
-w /etc/shadow -p rwa -k passwords-files | -w /etc/shadow -p rwa -k passwords-files | ||
</code><code> | </code><code> | ||
- | # /etc/init.d/auditd restart | + | # service auditd restart |
</code> | </code> | ||
Line 34: | Line 34: | ||
===== Поиск событий ===== | ===== Поиск событий ===== | ||
<code> | <code> | ||
- | # cat /var/log/audit/audit.log | + | # cat /var/log/audit/audit.log |
# ausearch -f /etc/passwd | # ausearch -f /etc/passwd | ||
Line 40: | Line 40: | ||
# ausearch -k passwords-files | # ausearch -k passwords-files | ||
- | # ausearch -f /etc/passwd -i | + | # ausearch -f /etc/passwd -i | grep user1 | grep touch |
</code> | </code> |