Auditd es el componente de espacio de usuario del sistema de auditoría de Linux. Es responsable de escribir registros de auditoría en el disco. La visualización de los registros se realiza con ausearch o aureport utilidades. La configuración de las reglas de auditoría se realiza con la utilidad auditctl. Durante el inicio, las reglas en /etc/audit/rules.d/audit.rules son leídos por auditctl. El propio demonio de auditoría tiene algunas opciones de configuración que el administrador puede desear personalizar. Se encuentran en /etc/audit/rules.d/auditd.conf archivo.
En CentOS/RHEL 6, el archivo de configuración es /etc/audit/audit.rules en lugar de /etc/audit/rules.d/audit.rules.Esta publicación describirá los pasos para habilitar el servicio de auditoría del sistema operativo Linux para realizar un seguimiento de los eventos del archivo, como ejecutar, leer, escribir, etc. Por ejemplo, si desea realizar un seguimiento del archivo /etc/hosts, siga los pasos que se describen a continuación.
1. Verifique que el servicio de auditoría esté iniciado.
# service auditd status auditd (pid 2311) is running...
2. Si no se está ejecutando, inícielo:
# service auditd start
3. Ejecute el comando auditctl para comenzar a auditar el archivo /etc/hosts. La sintaxis es como se muestra a continuación:
# auditctl -w /etc/hosts -p war -k hosts-file
Aquí,
-w – apuntar a un archivo (use la ruta completa) para ver/auditar.
-p – establezca el permiso para auditar, r para leer, w para escribir, x para ejecutar, a para agregar.
-k – una palabra clave para registrar la información de auditoría.
4. Verifiquemos si la regla de auditoría está configurada correctamente. Lea y escriba alguna entrada nueva en el archivo /etc/hosts y luego verifique la información de auditoría en /var/log/messages
# vi /etc/hosts
# ausearch -i -f /etc/hosts ..... type=PATH msg=audit(05/22/08 18:24:01.071:83) : name=/etc/hosts flags=follow,open inode=4313009 dev=08:05 mode=file,644 ouid=root ogid=root rdev=00:00 type=FS_INODE msg=audit(05/22/08 18:24:01.071:83) : inode=4313009 inode_uid=root inode_gid=root inode_dev=08:05 inode_rdev=00:00 type=FS_WATCH msg=audit(05/22/08 18:24:01.071:83) : watch_inode=4313009 watch=hosts filterkey=testhost perm=read,write,append perm_mask=read ....Cómo identificar usuarios que eliminan archivos de un directorio dado en Linux