🔎 Auditd: как Linux отслеживает всё, что происходит в системе
Auditd — это встроенная система аудита в Linux, которая записывает кто, что и когда сделал в системе.
Если тебе нужно понять, *кто удалил файл*, *кто получил доступ к /etc/shadow* или *когда изменили конфиг* — это как раз его задача.
❓ Как это работает
Auditd состоит из нескольких частей:
▶️ auditd (демон) — собирает и пишет логи
▶️ auditctl — добавляет правила (что именно отслеживать)
▶️ ausearch / aureport — помогает анализировать логи
🧠 Что можно отслеживать
Auditd умеет фиксировать почти всё:
🔁 доступ к файлам и каталогам
🪧 действия пользователей
❗️ попытки входа
💻 запуск команд
🧾 попытки аутентификации
⬇️ Установка
В большинстве дистрибутивов Auditd доступен из стандартных репозиториев:
Debian / Ubuntu:
apt install auditd audispd-plugins
RHEL / CentOS:
yum install audit
После установки сервис обычно запускается автоматически. При необходимости:
systemctl enable auditd
systemctl start auditd
🎯 Пример использования
Добавим правило для отслеживания изменений файла /etc/passwd:
auditctl -w /etc/passwd -p wa -k passwd_changes
Параметры:
-w — указание файла для наблюдения
-p wa — отслеживание записи (write) и изменения атрибутов (attribute)
-k — ключ для удобного поиска событий
🛡 Расположение логов
Журналы аудита по умолчанию сохраняются в:
/var/log/audit/audit.log
Для анализа рекомендуется использовать:
* ausearch — выборка событий
* aureport — генерация отчетов
#linux #auditd #cybersecurity #infosec #sysadmin #logging #security #devops
🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером
