Benutzer-Werkzeuge
admin_grundlagen:auditd
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen gezeigt.
| Nächste Überarbeitung | Vorherige Überarbeitung | ||
|
admin_grundlagen:auditd [2020/02/07 09:32] ingo_wichmann angelegt |
admin_grundlagen:auditd [2025/04/04 12:40] (aktuell) ingo_wichmann |
||
|---|---|---|---|
| Zeile 3: | Zeile 3: | ||
| * CentOS (6): ''audit'' | * CentOS (6): ''audit'' | ||
| * openSuSE (13.1): ''audit'' | * openSuSE (13.1): ''audit'' | ||
| - | * Debian (7): ''auditd'' | + | * Debian (ab 7): ''auditd'' |
| + | * Ubuntu (ab 18.04): ''auditd'' | ||
| ===== Änderungen an Datei ''/etc/passwd'' überwachen ===== | ===== Änderungen an Datei ''/etc/passwd'' überwachen ===== | ||
| - | ''/etc/audit/audit.rules'' : | + | |
| - | <file> | + | <file txt /etc/audit/rules.d/passwd.rules> |
| -w /etc/passwd -p wa | -w /etc/passwd -p wa | ||
| </file> | </file> | ||
| + | systemctl kill --signal=SIGHUP auditd.service | ||
| + | oder | ||
| service auditd restart | service auditd restart | ||
| + | |||
| + | Prüfen, ob reload/restart geklappt hat: | ||
| + | systemctl status auditd.service | ||
| + | journalctl -eu auditd.service | ||
| ===== testen ===== | ===== testen ===== | ||
| touch /etc/passwd | touch /etc/passwd | ||
| tail /var/log/audit/audit.log | tail /var/log/audit/audit.log | ||
| - | ausearch -f /etc/passwd | + | ausearch -i -f /etc/passwd |
| useradd -m klaus | useradd -m klaus | ||
| tail /var/log/audit/audit.log | tail /var/log/audit/audit.log | ||
| - | ausearch -f /etc/passwd | + | ausearch -i -f /etc/passwd |
| ===== Auditd für Änderungen sperren ===== | ===== Auditd für Änderungen sperren ===== | ||
admin_grundlagen/auditd.1581067931.txt.gz · Zuletzt geändert: 2020/02/07 09:32 von ingo_wichmann
Seiten-Werkzeuge
Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-Noncommercial-Share Alike 4.0 International
