Outils pour utilisateurs

Outils du site


auditd

Audit

Biblio / sources

Surveiller les accès à des fichiers avec auditd

yum install audit

system-config-audit

yum install system-config-audit

état du service: auditctl -s

règles chargées: auditctl -l

construire une règle qui va enregistrer les modifications de données et permissions du fichier /etc/passwd: auditctl -w /etc/passwd -p wa -k passwd_changes

l'option -k permet de spécifier un mot-clé / une étiquette qui sera accolé à l'évènement.

il est également possible de faire la même chose sur un répertoire entier (c'est récursif)

auditctl -w /etc/ -p wa -k config changes !

grep passwd_changes /var/log/audit/audit.log

on peut rendre les règles persistante en copiant leur définition (ex la commande ci-dessus, sans auditctl) dans un fichier /etc/audit.rule

On peut également utiliser un modèle pré éxistant. par exemple /usr/share/doc/audit-2.4.1/capp.rules

il suffit de copier le fichier en tant que /etc/audit/audit.rules

Cette page: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/sec-Understanding_Audit_Log_Files.html sera utile pour déchiffrer le contenu du log

ausyscall –dump permet d'obtenir la liste des syscall

ausearch -i –uid UID - recherche d'un utilisateur depuis son UID

ausearch -f /etc/ssh/sshd_config recherche d'évenement en rapport avec le fichier /etc/ssh/sshd_config

Génération de rapport:

aureport

ausearch –start today –loginuid 0 –raw | aureport -f –summary # génère un rapport listant tous les fichiers accédés par root ce jour

Bug

Un matin, pulseaudio refuse de démarrer. En cause, un manque de marqueurs inotify, que je pense consommé par auditd. Cf le log ci-dessous:

août 15 21:32:51 cafeine.opendoor.fr pulseaudio[18791]: [pulseaudio] module-udev-detect.c: You apparently ran out of inotify watches, probably because Tracker/Beagle took them all away. I wished people would do their homework first and fix inotify before using it for watching whole directory trees which is something the current inotify is certainly not useful for. Please make sure to drop the Tracker/Beagle guys a line complaining about their broken use of inotify. août 15 21:32:51 cafeine.opendoor.fr pulseaudio[18791]: [pulseaudio] module-systemd-login.c: Failed to create session monitor: No space left on device août 15 21:32:51 cafeine.opendoor.fr pulseaudio[18791]: [pulseaudio] module.c: Failed to load module “module-systemd-login” (argument: “”): initialization failed.

solution: via sysctl : fs.inotify.max_user_watches=524288

# vim: set filetype=dokuwiki:

auditd.txt · Dernière modification: 2016/08/18 17:45 (modification externe)