← До списку лабораторних по Linux
Повний опис / сценарій лабораторної:
Мета: навчитися налаштовувати auditd для відстеження важливих подій, переглядати журнали аудиту та формувати правила. Крок 1. Встановити auditd. Команда: sudo apt install auditd audispd-plugins Крок 2. Перевірити статус служби. Команда: sudo systemctl status auditd Пояснення: сервіс має бути активним. Крок 3. Переглянути поточні правила. Команда: sudo auditctl -l Пояснення: на чистій системі список може бути порожнім. Крок 4. Додати правило моніторингу файла sudoers. Команда: sudo auditctl -w /etc/sudoers -p wa -k sudoers_change Пояснення: w означає watch, p визначає типи подій, k це мітка для фільтрації. Крок 5. Внести тестову зміну у sudoers і одразу відкотити її. Пояснення: використайте visudo щоб не зіпсувати файл. Крок 6. Переглянути журнал аудиту за ключем. Команда: sudo ausearch -k sudoers_change Пояснення: знайдіть записи що відповідають вашій зміні. Крок 7. Додати правило аудиту виконання команди rm. Команда: sudo auditctl -a always,exit -F arch=b64 -S unlink -k rm_calls Пояснення: для 32 бітної архітектури потрібне окреме правило. Крок 8. Видалити тестовий файл і перевірити журнал. Команди: touch ~/audit_test; rm ~/audit_test; sudo ausearch -k rm_calls Крок 9. Зберегти правила у /etc/audit/rules.d щоб вони пережили перезавантаження. Пояснення: запишіть їх у файл і застосуйте через augenrules. Крок 10. Міні звіт. Завдання: опишіть які файли та дії у прод середовищі ви б обовʼязково взяли під аудит.