Методические материалы Лохтурова Вячеслава

User Tools

Site Tools

Trace:
система_linux_auditing

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision 		Previous revision
Last revision Both sides next revision
система_linux_auditing [2013/10/24 16:20]
val [Система Linux Auditing] 		система_linux_auditing [2020/06/16 19:41]
val [Настройка правил аудита событий]
Line 1: Line 1:
 ====== Система Linux Auditing ====== ====== Система Linux Auditing ======
  
-  * [[http://​www.cyberciti.biz/​tips/​linux-audit-files-to-see-who-made-changes-to-a-file.html]] +  * [[http://​www.cyberciti.biz/​tips/​linux-audit-files-to-see-who-made-changes-to-a-file.html|Linux audit files to see who made changes to a file]] 
-  * [[http://​www.xakep.ru/​post/​54897/​]]+  * [[http://​www.xakep.ru/​post/​54897/​|Аудит системных событий в Linux]]
  
 Сценарий:​ отслеживаем события чтения/​записи/​добавления в файлы passwd и shadow Сценарий:​ отслеживаем события чтения/​записи/​добавления в файлы passwd и shadow
 ===== Установка и запуск системы аудита ===== ===== Установка и запуск системы аудита =====
 <​code>​ <​code>​
-# apt-get install auditd+# apt install auditd
 </​code>​ </​code>​
 ===== Настройка правил аудита событий ===== ===== Настройка правил аудита событий =====
Line 14: Line 14:
  
 # auditctl -w /etc/passwd -p rwa -k passwords-files # auditctl -w /etc/passwd -p rwa -k passwords-files
 +# auditctl -w /etc/shadow -p rwa -k passwords-files
 +
 +# auditctl -l
  
 # cat /​etc/​audit/​audit.rules # cat /​etc/​audit/​audit.rules
Line 21: Line 24:
 -w /etc/shadow -p rwa -k passwords-files -w /etc/shadow -p rwa -k passwords-files
 </​code><​code>​ </​code><​code>​
-/​etc/​init.d/​auditd restart+service ​auditd restart
 </​code>​ </​code>​
  
 ===== Генерация событий ===== ===== Генерация событий =====
 <​code>​ <​code>​
-touch /etc/passwd+user1$ ​touch /etc/passwd
  
-cat /etc/shadow+user1$ ​cat /etc/shadow
 </​code>​ </​code>​
  
 ===== Поиск событий ===== ===== Поиск событий =====
 <​code>​ <​code>​
-# cat /​var/​log/​audit/​audit.log ​+# cat /​var/​log/​audit/​audit.log
  
 # ausearch -f /etc/passwd # ausearch -f /etc/passwd
Line 39: Line 42:
 # ausearch -k passwords-files # ausearch -k passwords-files
  
-# ausearch -f /etc/passwd -i+# ausearch -f /etc/passwd -i | grep user1 | grep touch
 </​code>​ </​code>​
система_linux_auditing.txt · Last modified: 2020/07/22 20:03 by val

Page Tools

Except where otherwise noted, content on this wiki is licensed under the following license: CC Attribution-Share Alike 4.0 International
CC Attribution-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Run on Debian Driven by DokuWiki