← До списку лабораторних по Linux
Повний опис / сценарій лабораторної:
Мета: навчитися стежити за змінами конкретних файлів через auditd та аналізувати записи. Крок 1. Встановити пакети auditd якщо вони відсутні. Команда: sudo apt install auditd audispd-plugins або відповідні пакети Крок 2. Перевірити статус служби аудиту. Команда: systemctl status auditd Пояснення: переконайтеся що сервіс працює без помилок. Крок 3. Створити тестовий файл для спостереження. Команда: echo SECURE > ~/audit_test.txt Крок 4. Додати правило аудиту для цього файлу. Команда: sudo auditctl -w /home/ВАШ_КОРИСТУВАЧ/audit_test.txt -p war -k audit_lab38 Пояснення: w означає watch, p задає тип подій, k задає ключ для пошуку. Крок 5. Змінити файл декілька разів. Команди: echo one >> ~/audit_test.txt; cat ~/audit_test.txt > /dev/null Пояснення: створюємо події читання та запису. Крок 6. Видалити файл. Команда: rm ~/audit_test.txt Пояснення: створюється подія видалення. Крок 7. Знайти усі записи повʼязані з нашим ключем. Команда: sudo ausearch -k audit_lab38 Пояснення: команда показує усі події повʼязані з цим правилом. Крок 8. Переглянути один запис детально. Команда: sudo aureport -f -k -i Пояснення: звіт показує хто та коли змінював файли. Крок 9. Видалити тимчасове правило. Команда: sudo auditctl -W /home/ВАШ_КОРИСТУВАЧ/audit_test.txt Пояснення: перевірте через auditctl -l що правило більше не активне. Крок 10. Міні звіт. Завдання: опишіть приклади файлів або дій які ви б моніторили через auditd на прод сервері.