ЛР 3.5 - Использование auditd

1. Установите утилиту auditd:
   apt install auditd
   
2. Ознакомьтесь с конфигами /etc/audit/auditd.conf и /etc/audit/rules.d/audit.rules
3. Добавьте в конфиг /etc/audit/rules.d/audit.rules два правила:

## отслеживание изменений в /etc/passwd:
-w /etc/passwd -p wa -k etcpasswd
## отслеживание действий пользователя www-data в консоли
-a always,exit -F arch=b64 -S execve -F uid=www-data -k www-data_actions

4. После выполнения действий, попадающих под правила, проведите их аудит:
   ausearch -k etcpasswd
ausearch -k www-data_actions
   
   Дополнительно:
   Справка по опциям auditd
   Примеры правил auditd