>
MENU
find

Alla scoperta del comando find

gdrive-ocamlfuse

Google Drive su Linux? Ecco come fare

4 settembre 2013 Visualizzazioni: 939 HowTo

Auditd: monitoraggio completo di Linux

Il tool a riga di comando ci permette di osservare ogni movimento di un sistema. Scopriamo come installarlo, configurarlo e installarlo su Debian, Ubuntu e Fedora.


All’interno di Linux è presente un demone che monitora le chiamate di sistema e che permette agli amministratori di sistema di tenere traccia di ogni movimento. Il demone in questione si chiama auditd.

Anche se qualcuno ritiene che il suo utilizzo sia complesso, il tool in questione è realmente semplice da utilizzare. Per sfatare ogni mito, abbiamo deciso di metterlo alla prova. Scopriamo quindi come funziona.

Se vogliamo installare lo strumento su Debian, Ubuntu o Linux Mint, ci basta avviare il terminale e lanciare il comando:

sudo apt-get install auditd

Nel caso di Fedora, CentOS e RHEL, invece:

sudo yum install audit

Al termine dell’installazione, il demone viene configurato per avviarsi automaticamente all’accesso del sistema. Ciò, nel caso di Debian e derivate. Per Fedora, CentOS e RHEL, è necessario lanciare:

chkconfig sudo auditd on

Possiamo quindi passare alla sua configurazione di base. Le vie che possiamo seguire sono essenzialmente due. La prima, si basa su un programma a riga di comando: AUDITCTL. L’altro, al contrario, consiste nella modifica del file di configurazione audit.rules che si trova nel percorso /etc/audit.

Ecco un esempio del file in questione:

# First rule - delete all
-D

# increase the buffers to survive stress events. make this bigger for busy systems.
-b 1024

# monitor unlink() and rmdir() system calls.
-a exit,always -S unlink -S rmdir

# monitor open() system call by Linux UID 1001.
-a exit,always -S open -F loginuid=1001

# monitor write-access and change in file properties (read/write/execute) of the following files.
-w /etc/group -p wa
-w /etc/passwd -p wa
-w /etc/shadow -p wa
-w /etc/sudoers -p wa

# monitor read-access of the following directory.
-w /etc/secret_directory -p r

# lock the audit configuration to prevent any modification of this file.
-e 2

Al termine delle modifiche, lanciamo il comando:

sudo service auditd restart

per riavviare il servizio. Inizia quindi la generazione di un log in /audit/audit.log. Per interrogarlo, possiamo far affidamento ad un altro tool, ausearch.

Se ad esempio vogliamo verificare se il file /etc/passwd è stato letto, lanciamo il comando:

sudo ausearch -f /etc/passwd

auditd

Fonte: XModulo

twittergoogle_pluslinkedinmail