Infrastructure d’audit Linux : tout sur la commande Auditd

Il y a quelques jours, à partir de février, nous avons embarqué à bord d’un poste spécial un grand collection de commandes essentielles (de base et intermédiaires) disponible sur la plupart des systèmes d’exploitation libres et ouverts basés sur GNU/Linux. Par conséquent, certains étaient très simples, et avec lesquels des dossiers et des fichiers pouvaient être manipulés, et des informations affichées à leur sujet. Alors que d’autres étaient plus complexes, et avec lesquels les configurations et les paramètres pouvaient être gérés.

Mais, cette collection ne couvrait qu’une modeste 60 commandes Linux. Et étant donné qu’il existe en moyenne des centaines de commandes disponibles dans la plupart des distributions GNU/Linux, il est temps, petit à petit, d’en aborder d’autres similaires ou plus importantes, avancées ou spécialisées. Comme le Commande Linux Auditd soit “Cadre d’audit Linux”dont nous parlerons aujourd’hui dans cet article.

Commandes Linux : Les plus indispensables à maîtriser en 2023

Mais, avant de commencer cet article intéressant sur le Commande Linux Auditd soit “Cadre d’audit Linux”nous recommandons la publication précédente, pour une lecture ultérieure :

Cadre d’audit Linux : environnement d’audit Linux puissant

Qu’est-ce que la commande Auditd (Linux Audit Framework) ?

Brièvement, nous pourrions décrire ledit commande d’audit en tant qu’outil logiciel (framework) audit pour Linux, qui fournit un Système d’audit conforme au CAPP (Profil de protection d’accès contrôlé, en anglais, ou Profil de protection d’accès contrôlé, en espagnol). Pour ce que c’est capable de collecter des informations de manière fiable sur tout événement pertinent (ou non) pour la sécurité dans un système d’exploitation Linux.

Par conséquent, il est idéal pour nous soutenir lors de la réalisation suivi des actions réalisées dans un OS. Ainsi, la commande Auditd ou la commande Cadre d’audit Linux (Linux Audit Framework ou LAF) peut nous aider à maintenir notre système d’exploitation le plus sécurisé, grâce à nous fournir les moyens nécessaires pour analyser ce qui s’y passe avec un grand niveau de détail.

Cependant, et comme il faut le comprendre, n’apporte pas de confiance en soi supplémentairec’est-à-dire qu’il ne protège pas notre système d’exploitation contre les dysfonctionnements du code ou tout type d’exploitation par des logiciels malveillants ou des attaques intrusives. Sinon quoi, Il est utile pour détecter les problèmes potentiels en vue d’une analyse et d’une correction plus approfondies.de manière à prendre des mesures de sécurité supplémentaires pour les atténuer et même les éviter. Enfin, il LAF il fonctionne en écoutant les événements signalés par le noyau et en les enregistrant dans un fichier journal pour une analyse ultérieure et un rapport à l’utilisateur.

C’est un espace utilisateur d’outils d’audit de sécurité. Le package d’audit contient les utilitaires utilisateur pour stocker et rechercher les journaux d’audit générés par le sous-système d’audit du noyau Linux, à partir de la version 2.6. paquet auditd (sur Debian)

Comment installer et utiliser la commande Auditd ?

Comme la plupart des commandes, via Terminal (CLI), il peut être installé facilement et régulièrement. en utilisant le gestionnaire de paquets par défaut ou préféré de votre distribution GNU/Linux.

Par exemple dans Debian GNU/Linux et les dérivés seraient:

sudo apt install auditd

Alors que en Fedora GNU/Linux et Red Hatet son semblable serait :

sudo dnf install auditd

sudo yum install audit

Et pour son utilisation basique et par défaut, il suffit d’exécuter les ordres de commandes suivants :

• Vérifier l’état d’exécution

sudo systemctl status audit

• Activer le service en arrière-plan

sudo systemctl enable auditd

• Afficher les règles actuellement configurées

sudo auditctl -l

• Création de règles d’affichage (watch) ou de contrôle (syscall)

sudo auditctl -w /carpeta/archivo -p permisos-otorgados

sudo auditctl -a action,filter -S syscall -F field=value -k keyword

• Gérer toutes les règles créées

sudo vim /etc/audit/audit.rules

• Répertoriez tous les événements liés à un processus spécifique en fonction de son PID, du mot-clé associé, du chemin ou du fichier ou des appels système.
  

sudo ausearch -p PID

sudo ausearch -k keyword

sudo ausearch -f ruta

sudo ausearch -sc syscall

• Générer des rapports d’audit

sudo aureport -n

sudo aureport --summary

sudo aureport -f --summary

sudo aureport -l --summary

sudo aureport --failed

• Tracer l’exécution d’un processus

sudo autracet /ruta/comando

Cependant, pour en savoir plus Nous vous recommandons d’explorer les liens suivants :

résumé

En résumé, nous espérons que cette publication liée à la puissant environnement d’audit intégré à GNU/Linux connu comme “Cadre d’audit Linux”qui est fourni par le Commande Linux Auditdpermettre à beaucoup, le pouvoir audit (examiner et évaluer) toute l’activité de ses systèmes d’exploitation libres et ouverts basés sur GNU/Linux. Et ainsi, ils peuvent facilement détecter et corriger rapidement toute configuration ou activité anormale, inappropriée ou nuisible.

Enfin, n’oubliez pas de donner votre avis sur le sujet d’aujourd’hui, via des commentaires. Et si vous avez aimé cet article, n’hésitez pas à le partager avec d’autres. Aussi, rappelez-vous visitez notre page d’accueil dans “Depuis Linux” pour explorer plus de nouvelles, et rejoignez notre chaîne officielle de Télégramme de LinuxOuest grappe pour plus d’informations sur le sujet d’aujourd’hui.