Практическая работа № 4 ("Auditd в Linux".)

# Практическая работа № 4 ("Auditd в Linux".) ## Цель работы: Необходимо разобраться как работает auditd. ## Основные понятия: **Auditd** (сокращение от Linux Audit Daemon) — нативный инструмент предназначенный для мониторинга событий операционной системы и записи их в журналы событий, разрабатываемый и поддерживаемый компанией RedHat. **auditctl** — управление системой аудита, получение информации о состоянии системы, добавление и удаление правил; **autrace** — аудит событий, вызываемых процессами (аналогично strace); **ausearch** — поиск событий в журналах; **aureport** — создание отчетов о работе аудита. Правила для логирования можно добавлять следующими способами: - записать его в файл(ы) **/etc/audit/rules.d/<имя файла>.rules** и перезапустить сервис; - записать в файл по произвольному пути и указать его явно: auditctl -R <путь к файлу>; - добавить правило утилитой auditctl [-A,-a] <правило>. ## Начало работы: ### 1) Создание файла и добавление в него правил: Правила не обязательно задавать, используя командную строку. Во время старта демон auditd читает два файла: **/etc/audit/auditd.conf** и **/etc/audit/audit.rules** (в некоторых дистрибутивах они могут находиться прямо в /etc). **Первый описывает конфигурацию демона** и содержит такие опции: как имя журнала и его формат, частота обновления и другие параметры. Нет смысла их изменять, разработчики дистрибутива уже позаботились о грамотной настройке. **Второй файл содержит правила аудита** в формате auditctl, поэтому все, что нужно сделать, чтобы получить правило, пригодное для записи в этот файл – просто опустить имя команды. ### 2) Добавление правила аудита для регистрации изменения файлов /etc/passwd и /etc/shadow ![](https://i.imgur.com/a9lwUMn.png) ### 4) Создание пользователя ![](https://i.imgur.com/A4TUOE2.png) ### 5) Показ с помощью правила, uid созданного пользователя Правило: ![](https://i.imgur.com/dC0EjuQ.png) Показ UID: ``` olpeach@olpeach:/home$ sudo ausearch -f /home ``` ![](https://i.imgur.com/TAcwX5g.png) Сопоставление UID с пользователем: ![](https://i.imgur.com/WK008lf.png) ### 6) Создание директории MIREA ![](https://i.imgur.com/rqNtU5k.png) ### 7) Создание правила, предназначенного для наблюдения за директорией MIREA ![](https://i.imgur.com/OPupqXS.png) ### 8) Создание нескольких поддиректорий: создайте или скопируйте несколько файлов, удалите несколько файлов или получите список ее содержимого ![](https://i.imgur.com/NBWQHW9.png) ### 9) Обратиться к содержимому журнала демона auditd и выведение изменения в директории MIREA ![](https://i.imgur.com/8G0kydl.png) ### 10) Показ абсолютно всех событий аудита за день ![](https://i.imgur.com/B2aExGg.png) ### 11)Внести изменения, вывести результат двумя способами: командой и отчётом. Команда: ``` olpeach@olpeach:/home$ sudo aureport -x ``` Пример вывода: ![](https://i.imgur.com/vtZXN01.png) ![](https://i.imgur.com/YfS7AVR.png)