ЛР 3.5 - Использование auditd

  1. Установите утилиту auditd:
    apt install auditd
  2. Ознакомьтесь с конфигами /etc/audit/auditd.conf и /etc/audit/rules.d/audit.rules
  3. Добавьте в конфиг /etc/audit/rules.d/audit.rules два правила:
## отслеживание изменений в /etc/passwd:
-w /etc/passwd -p wa -k etcpasswd
## отслеживание действий пользователя www-data в консоли
-a always,exit -F arch=b64 -S execve -F uid=www-data -k www-data_actions
  1. После выполнения действий, попадающих под правила, проведите их аудит:
    ausearch -k etcpasswd
    ausearch -k www-data_actions

    Дополнительно:
    Справка по опциям auditd
    Примеры правил auditd