Linuxhotel Wiki

Wie ging das nochmal?

Benutzer-Werkzeuge

Webseiten-Werkzeuge


admin_grundlagen:auditd

Dateiänderungen überwachen mit auditd

Paket:

  • CentOS (6): audit
  • openSuSE (13.1): audit
  • Debian (7): auditd
  • Ubuntu (18.04): auditd

Änderungen an Datei ''/etc/passwd'' überwachen

  • Debian (7): /etc/audit/audit.rules
  • Ubuntu (18.04): /etc/audit/rules.d/passwd.rules
-w /etc/passwd -p wa
service auditd restart

testen

touch /etc/passwd
tail /var/log/audit/audit.log
ausearch -f /etc/passwd
useradd -m klaus
tail /var/log/audit/audit.log
ausearch -f /etc/passwd

Auditd für Änderungen sperren

/etc/audit/audit.rules :

-e 2

Änderungen an /etc/audit/audit.rules werden jetzt erst nach reboot aktiv.

Todo

auditctl
aureport
admin_grundlagen/auditd.txt · Zuletzt geändert: 2020/03/06 11:29 von stefan_miethke