**Практическая работа №3. auditd**

# **Практическая работа №3. auditd** > Выполнил студент группы БСБО-06-19 Сморчков Михаил Максимович **Цель работы:** * Необходимо разобраться как работает auditd. * Проделать практическую работу в терминале. * Создать файл и добавить его в правила. * Добавить конфигурационные файлы /etc/passwd /etc/shadow в audit.rules. * Внести изменения, вывесте результат двумя способами: командой и отчётом. Одной из важных составляющих информационной безопасности инфраструктуры компании является SIEM - система управлением событиями и информацией безопасности. Такую систему можно условно поделить на 2 основные части — подсистему сбора событий и подсистему анализа полученных событий. Правильная настройка первой поможет обнаружить вторжение на ранних этапах проникновения, облегчит написание событий тревоги (алертов), а если вас всё-таки взломали, то позволит разобраться, как и почему это произошло, какие действия выполняли злоумышленники. Основным инструментом для сбора системных событий в линукс-системах является auditd. На основе этого инструмента созданы и другие, например, auditbeat, go-audit, которые дополняют основной функционал auditd. Поэтому, разобравшись с основными принципами работы базового инструмента, вам не составит труда воспользоваться и всеми остальными. **Общее описание auditd** auditd (сокращение от Linux Audit Daemon) — нативный инструмент предназначенный для мониторинга событий операционной системы и записи их в журналы событий, разрабатываемый и поддерживаемый компанией RedHat. Был создан для тесного взаимодействия с ядром операционной системы — во время своей работы наблюдает за системными вызовами и может записывать события — чтение, запись, выполнение, изменение прав - связанные с файлами ОС. Таким образом, с его помощью можно отслеживать практически любые события, происходящие в операционной системе. **Плюсы auditd:** * работает на низком уровне мониторинга — отслеживает системные вызовы и действия с файлами; * имеет неплохой набор утилит в комплекте для удобства работы; * постоянно развивается и обновляется; * бесплатен и легко устанавливается. **Минусы auditd:** * большинство событий, возникающих при атаках характерных для конкретного приложения, практически невозможно отслеживать поскольку на уровне системных вызовов и работе с файлами трудно отличить взлом от нормальной работы приложения. Такие события лучше отслеживать на уровне самих приложений; * auditd может замедлять работу ОС. Это связанно с тем, что подсистеме аудита необходимо проводить анализ системных вызовов; * не слишком гибок в настройке правил; * на данный момент это не лучший инструмент для работы с контейнерами. # Установка: ``` apt-get install auditd ``` ![](https://i.imgur.com/Mcc9ugq.png) Проверим работоспособность сервиса ![](https://i.imgur.com/KVNSDHO.png) Создадим файл и добавим правило на отслеживание изменений данного файла ``` touch auditd_test.txt auditctl -w /home/audit.txt -p wrxa -k audit_filter ``` ![](https://i.imgur.com/Q4Uj6Fq.png) Убедимся что правило добавилось ![](https://i.imgur.com/fgrcNq2.png) Внесем изменения в файл и посмотри как это записал auditd ![](https://i.imgur.com/s4KiFEW.png) ![](https://i.imgur.com/nv79QfC.png) # Добавление правил в конфигурационный файл Перейдя в конф. файл /etc/auditd/audit.rules, добавим правила на отслеживание изменений в файлах /etc/passwd и /etc/shadow ![](https://i.imgur.com/sXnhsnB.png) Создадим нового пользователя и изменим ему пароль ![](https://i.imgur.com/HpaxT0B.png) ![](https://i.imgur.com/EIRkN1z.png) Теперь посмотрим отчет ![](https://i.imgur.com/XLvi4HI.png) # Выводы: Получены навыки работы с auditd