Inhaltsverzeichnis

Dateiänderungen überwachen mit auditd

Paket:

Änderungen an Datei ''/etc/passwd'' überwachen

/etc/audit/rules.d/passwd.rules
-w /etc/passwd -p wa
systemctl kill --signal=SIGHUP auditd.service

oder

service auditd restart

testen

touch /etc/passwd
tail /var/log/audit/audit.log
ausearch -i -f /etc/passwd
useradd -m klaus
tail /var/log/audit/audit.log
ausearch -i -f /etc/passwd

Auditd für Änderungen sperren

/etc/audit/audit.rules :

-e 2

Änderungen an /etc/audit/audit.rules werden jetzt erst nach reboot aktiv.

Todo

auditctl
aureport