<?xml version="1.0"?>
<feed xmlns="http://www.w3.org/2005/Atom" xml:lang="fr">
	<id>https://wikiold.home.tartarefr.eu/index.php?action=history&amp;feed=atom&amp;title=Security%2FAudit%2FAuditd%2FBrief</id>
	<title>Security/Audit/Auditd/Brief - Historique des versions</title>
	<link rel="self" type="application/atom+xml" href="https://wikiold.home.tartarefr.eu/index.php?action=history&amp;feed=atom&amp;title=Security%2FAudit%2FAuditd%2FBrief"/>
	<link rel="alternate" type="text/html" href="https://wikiold.home.tartarefr.eu/index.php?title=Security/Audit/Auditd/Brief&amp;action=history"/>
	<updated>2026-07-08T01:41:33Z</updated>
	<subtitle>Historique des versions pour cette page sur le wiki</subtitle>
	<generator>MediaWiki 1.43.8</generator>
	<entry>
		<id>https://wikiold.home.tartarefr.eu/index.php?title=Security/Audit/Auditd/Brief&amp;diff=2626&amp;oldid=prev</id>
		<title>Didier : Page créée avec « == Introduction == Auditd est un outil qui permet de monitorer les accès aux données et de pouvoir offrir un support stable pour l’exploitation des logs. Auditd fait p... »</title>
		<link rel="alternate" type="text/html" href="https://wikiold.home.tartarefr.eu/index.php?title=Security/Audit/Auditd/Brief&amp;diff=2626&amp;oldid=prev"/>
		<updated>2014-03-21T07:55:28Z</updated>

		<summary type="html">&lt;p&gt;Page créée avec « == Introduction == Auditd est un outil qui permet de monitorer les accès aux données et de pouvoir offrir un support stable pour l’exploitation des logs. Auditd fait p... »&lt;/p&gt;
&lt;p&gt;&lt;b&gt;Nouvelle page&lt;/b&gt;&lt;/p&gt;&lt;div&gt;== Introduction ==&lt;br /&gt;
Auditd est un outil qui permet de monitorer les accès aux données et de pouvoir offrir un support stable pour l’exploitation des logs. Auditd fait partie d’un ensemble de composants qui ont pour fonctionnalités de gérer les règles de surveillance et d’afficher les rapports.&lt;br /&gt;
&lt;br /&gt;
Auditd est le daemon qui tourne en fond, en userspace, et qui est au coeur de la récupération des informations.&lt;br /&gt;
&lt;br /&gt;
Tous les événement d&amp;#039;audit sont enregistrés dans le fichier de log &amp;lt;path&amp;gt;/var/log/audit/audit.log&amp;lt;/path&amp;gt;.&lt;br /&gt;
&lt;br /&gt;
== Configuration ==&lt;br /&gt;
&lt;br /&gt;
La configuration d’audit se trouve sous &amp;lt;path&amp;gt;/etc/audit/&amp;lt;/path&amp;gt;. On y trouve &amp;lt;path&amp;gt;auditd.conf&amp;lt;/path&amp;gt;, qui est la conf à proprement parler du daemon &amp;lt;app&amp;gt;auditd&amp;lt;/app&amp;gt; et &amp;lt;path&amp;gt;audit.rules&amp;lt;/path&amp;gt; qui est destiné à contenir vos règles en dur.&lt;br /&gt;
fichier &amp;lt;path&amp;gt;/etc/audit/auditd.conf &amp;lt;/path&amp;gt;: configuration du daemon&lt;br /&gt;
&amp;lt;syntaxhighlight lang=&amp;quot;python&amp;quot;&amp;gt;&lt;br /&gt;
#&lt;br /&gt;
# This file controls the configuration of the audit daemon&lt;br /&gt;
#&lt;br /&gt;
&lt;br /&gt;
log_file = /var/log/audit/audit.log&lt;br /&gt;
log_format = RAW&lt;br /&gt;
log_group = root&lt;br /&gt;
priority_boost = 4&lt;br /&gt;
flush = INCREMENTAL&lt;br /&gt;
freq = 20&lt;br /&gt;
num_logs = 5&lt;br /&gt;
disp_qos = lossy&lt;br /&gt;
dispatcher = /sbin/audispd&lt;br /&gt;
name_format = NONE&lt;br /&gt;
##name = mydomain&lt;br /&gt;
max_log_file = 6 &lt;br /&gt;
max_log_file_action = ROTATE&lt;br /&gt;
space_left = 75&lt;br /&gt;
space_left_action = email&lt;br /&gt;
action_mail_acct = root&lt;br /&gt;
admin_space_left = 50&lt;br /&gt;
admin_space_left_action = single&lt;br /&gt;
disk_full_action = SUSPEND&lt;br /&gt;
disk_error_action = SUSPEND&lt;br /&gt;
##tcp_listen_port = &lt;br /&gt;
tcp_listen_queue = 5&lt;br /&gt;
tcp_max_per_addr = 1&lt;br /&gt;
##tcp_client_ports = 1024-65535&lt;br /&gt;
tcp_client_max_idle = 0&lt;br /&gt;
enable_krb5 = no&lt;br /&gt;
krb5_principal = auditd&lt;br /&gt;
##krb5_key_file = /etc/audit/audit.key&lt;br /&gt;
&amp;lt;/syntaxhighlight&amp;gt;&lt;br /&gt;
&lt;br /&gt;
Fichier &amp;lt;path&amp;gt;/etc/audit/audit.rules&amp;lt;/path&amp;gt;: Définition des règles&lt;br /&gt;
&amp;lt;syntaxhighlight lang=&amp;quot;text&amp;quot;&amp;gt;&lt;br /&gt;
# This file contains the auditctl rules that are loaded&lt;br /&gt;
# whenever the audit daemon is started via the initscripts.&lt;br /&gt;
# The rules are simply the parameters that would be passed&lt;br /&gt;
# to auditctl.&lt;br /&gt;
&lt;br /&gt;
# First rule - delete all&lt;br /&gt;
-D&lt;br /&gt;
&lt;br /&gt;
# Increase the buffers to survive stress events.&lt;br /&gt;
# Make this bigger for busy systems&lt;br /&gt;
-b 320&lt;br /&gt;
&lt;br /&gt;
# Feel free to add below this line. See auditctl man page&lt;br /&gt;
-w /sbin/insmod -p x -k modules&lt;br /&gt;
-w /sbin/rmmod -p x -k modules&lt;br /&gt;
-w /sbin/modprobe -p x -k modules&lt;br /&gt;
-a always,exit -F arch=b64 -S init_module -S delete_module -k modules&lt;br /&gt;
-w /etc/sudoers -p wa -k actions&lt;br /&gt;
-a always,exit -F arch=b64 -S unlink -S unlinkat -S rename -S renameat -F auid&amp;gt;=500 -F auid!=4294967295 -k delete&lt;br /&gt;
-a always,exit -F arch=b64 -S mount -F auid&amp;gt;=500 -F auid!=4294967295 -k export&lt;br /&gt;
-a always,exit -F arch=b32 -S setxattr -F auid&amp;gt;=500 -F auid!=4294967295 -k perm_mod&lt;br /&gt;
-a always,exit -F arch=b64 -S setxattr -F auid&amp;gt;=500 -F auid!=4294967295 -k perm_mod&lt;br /&gt;
-a always,exit -F arch=b32 -S removexattr -F auid&amp;gt;=500 -F auid!=4294967295 -k perm_mod&lt;br /&gt;
-a always,exit -F arch=b64 -S removexattr -F auid&amp;gt;=500 -F auid!=4294967295 -k perm_mod&lt;br /&gt;
-a always,exit -F arch=b32 -S lsetxattr -F auid&amp;gt;=500 -F auid!=4294967295 -k perm_mod&lt;br /&gt;
-a always,exit -F arch=b64 -S lsetxattr -F auid&amp;gt;=500 -F auid!=4294967295 -k perm_mod&lt;br /&gt;
-a always,exit -F arch=b32 -S lremovexattr -F auid&amp;gt;=500 -F auid!=4294967295 -k perm_mod&lt;br /&gt;
-a always,exit -F arch=b64 -S lremovexattr -F auid&amp;gt;=500 -F auid!=4294967295 -k perm_mod&lt;br /&gt;
-a always,exit -F arch=b32 -S lchown -F auid&amp;gt;=500 -F auid!=4294967295 -k perm_mod&lt;br /&gt;
-a always,exit -F arch=b64 -S lchown -F auid&amp;gt;=500 -F auid!=4294967295 -k perm_mod&lt;br /&gt;
-a always,exit -F arch=b32 -S fsetxattr -F auid&amp;gt;=500 -F auid!=4294967295 -k perm_mod&lt;br /&gt;
-a always,exit -F arch=b64 -S fsetxattr -F auid&amp;gt;=500 -F auid!=4294967295 -k perm_mod&lt;br /&gt;
-a always,exit -F arch=b32 -S fremovexattr -F auid&amp;gt;=500 -F auid!=4294967295 -k perm_mod&lt;br /&gt;
-a always,exit -F arch=b64 -S fremovexattr -F auid&amp;gt;=500 -F auid!=4294967295 -k perm_mod&lt;br /&gt;
-a always,exit -F arch=b32 -S fchownat -F auid&amp;gt;=500 -F auid!=4294967295 -k perm_mod&lt;br /&gt;
-a always,exit -F arch=b64 -S fchownat -F auid&amp;gt;=500 -F auid!=4294967295 -k perm_mod&lt;br /&gt;
-a always,exit -F arch=b32 -S fchown -F auid&amp;gt;=500 -F auid!=4294967295 -k perm_mod&lt;br /&gt;
-a always,exit -F arch=b64 -S fchown -F auid&amp;gt;=500 -F auid!=4294967295 -k perm_mod&lt;br /&gt;
-a always,exit -F arch=b32 -S fchmodat -F auid&amp;gt;=500 -F auid!=4294967295 -k perm_mod&lt;br /&gt;
-a always,exit -F arch=b64 -S fchmodat -F auid&amp;gt;=500 -F auid!=4294967295 -k perm_mod&lt;br /&gt;
-a always,exit -F arch=b32 -S fchmod -F auid&amp;gt;=500 -F auid!=4294967295 -k perm_mod&lt;br /&gt;
-a always,exit -F arch=b64 -S fchmod -F auid&amp;gt;=500 -F auid!=4294967295 -k perm_mod&lt;br /&gt;
-a always,exit -F arch=b32 -S chown -F auid&amp;gt;=500 -F auid!=4294967295 -k perm_mod&lt;br /&gt;
-a always,exit -F arch=b64 -S chown -F auid&amp;gt;=500 -F auid!=4294967295 -k perm_mod&lt;br /&gt;
-a always,exit -F arch=b32 -S chmod -F auid&amp;gt;=500 -F auid!=4294967295 -k perm_mod&lt;br /&gt;
-a always,exit -F arch=b64 -S chmod  -F auid&amp;gt;=500 -F auid!=4294967295 -k perm_mod&lt;br /&gt;
-w /etc/selinux/ -p wa -k MAC-policy&lt;br /&gt;
-a always,exit -F arch=b64 -S sethostname -S setdomainname -k audit_network_modifications&lt;br /&gt;
-w /etc/issue -p wa -k audit_network_modifications&lt;br /&gt;
-w /etc/issue.net -p wa -k audit_network_modifications&lt;br /&gt;
-w /etc/hosts -p wa -k audit_network_modifications&lt;br /&gt;
-w /etc/sysconfig/network -p wa -k audit_network_modifications&lt;br /&gt;
-w /etc/group -p wa -k audit_account_changes&lt;br /&gt;
-w /etc/passwd -p wa -k audit_account_changes&lt;br /&gt;
-w /etc/gshadow -p wa -k audit_account_changes&lt;br /&gt;
-w /etc/shadow -p wa -k audit_account_changes&lt;br /&gt;
-w /etc/security/opasswd -p wa -k audit_account_changes&lt;br /&gt;
-w /etc/localtime -p wa -k audit_time_rules&lt;br /&gt;
-a always,exit -F arch=b64 -S clock_settime -k audit_time_rules&lt;br /&gt;
-a always,exit -F arch=b64 -S settimeofday -k audit_time_rules&lt;br /&gt;
-a always,exit -F arch=b64 -S adjtimex -k audit_time_rules&lt;br /&gt;
-a always,exit -F path=/sbin/netreport -F perm=x -F auid&amp;gt;=500 -F auid!=4294967295 -k privileged&lt;br /&gt;
-a always,exit -F path=/sbin/unix_chkpwd -F perm=x -F auid&amp;gt;=500 -F auid!=4294967295 -k privileged&lt;br /&gt;
-a always,exit -F path=/sbin/pam_timestamp_check -F perm=x -F auid&amp;gt;=500 -F auid!=4294967295 -k privileged&lt;br /&gt;
-a always,exit -F path=/bin/mount -F perm=x -F auid&amp;gt;=500 -F auid!=4294967295 -k privileged&lt;br /&gt;
-a always,exit -F path=/bin/su -F perm=x -F auid&amp;gt;=500 -F auid!=4294967295 -k privileged&lt;br /&gt;
-a always,exit -F path=/bin/ping -F perm=x -F auid&amp;gt;=500 -F auid!=4294967295 -k privileged&lt;br /&gt;
-a always,exit -F path=/bin/ping6 -F perm=x -F auid&amp;gt;=500 -F auid!=4294967295 -k privileged&lt;br /&gt;
-a always,exit -F path=/bin/umount -F perm=x -F auid&amp;gt;=500 -F auid!=4294967295 -k privileged&lt;br /&gt;
-a always,exit -F path=/lib64/dbus-1/dbus-daemon-launch-helper -F perm=x -F auid&amp;gt;=500 -F auid!=4294967295 -k privileged&lt;br /&gt;
-a always,exit -F path=/usr/sbin/usernetctl -F perm=x -F auid&amp;gt;=500 -F auid!=4294967295 -k privileged&lt;br /&gt;
-a always,exit -F path=/usr/sbin/postdrop -F perm=x -F auid&amp;gt;=500 -F auid!=4294967295 -k privileged&lt;br /&gt;
-a always,exit -F path=/usr/sbin/suexec -F perm=x -F auid&amp;gt;=500 -F auid!=4294967295 -k privileged&lt;br /&gt;
-a always,exit -F path=/usr/sbin/postqueue -F perm=x -F auid&amp;gt;=500 -F auid!=4294967295 -k privileged&lt;br /&gt;
-a always,exit -F path=/usr/sbin/userhelper -F perm=x -F auid&amp;gt;=500 -F auid!=4294967295 -k privileged&lt;br /&gt;
-a always,exit -F path=/usr/bin/staprun -F perm=x -F auid&amp;gt;=500 -F auid!=4294967295 -k privileged&lt;br /&gt;
-a always,exit -F path=/usr/bin/newgrp -F perm=x -F auid&amp;gt;=500 -F auid!=4294967295 -k privileged&lt;br /&gt;
-a always,exit -F path=/usr/bin/chage -F perm=x -F auid&amp;gt;=500 -F auid!=4294967295 -k privileged&lt;br /&gt;
-a always,exit -F path=/usr/bin/gpasswd -F perm=x -F auid&amp;gt;=500 -F auid!=4294967295 -k privileged&lt;br /&gt;
-a always,exit -F path=/usr/bin/at -F perm=x -F auid&amp;gt;=500 -F auid!=4294967295 -k privileged&lt;br /&gt;
-a always,exit -F path=/usr/bin/write -F perm=x -F auid&amp;gt;=500 -F auid!=4294967295 -k privileged&lt;br /&gt;
-a always,exit -F path=/usr/bin/sudo -F perm=x -F auid&amp;gt;=500 -F auid!=4294967295 -k privileged&lt;br /&gt;
-a always,exit -F path=/usr/bin/chfn -F perm=x -F auid&amp;gt;=500 -F auid!=4294967295 -k privileged&lt;br /&gt;
-a always,exit -F path=/usr/bin/passwd -F perm=x -F auid&amp;gt;=500 -F auid!=4294967295 -k privileged&lt;br /&gt;
-a always,exit -F path=/usr/bin/wall -F perm=x -F auid&amp;gt;=500 -F auid!=4294967295 -k privileged&lt;br /&gt;
-a always,exit -F path=/usr/bin/locate -F perm=x -F auid&amp;gt;=500 -F auid!=4294967295 -k privileged&lt;br /&gt;
-a always,exit -F path=/usr/bin/lockfile -F perm=x -F auid&amp;gt;=500 -F auid!=4294967295 -k privileged&lt;br /&gt;
-a always,exit -F path=/usr/bin/crontab -F perm=x -F auid&amp;gt;=500 -F auid!=4294967295 -k privileged&lt;br /&gt;
-a always,exit -F path=/usr/bin/ssh-agent -F perm=x -F auid&amp;gt;=500 -F auid!=4294967295 -k privileged&lt;br /&gt;
-a always,exit -F path=/usr/bin/pkexec -F perm=x -F auid&amp;gt;=500 -F auid!=4294967295 -k privileged&lt;br /&gt;
-a always,exit -F path=/usr/bin/chsh -F perm=x -F auid&amp;gt;=500 -F auid!=4294967295 -k privileged&lt;br /&gt;
-a always,exit -F path=/usr/libexec/abrt-action-install-debuginfo-to-abrt-cache -F perm=x -F auid&amp;gt;=500 -F auid!=4294967295 -k privileged&lt;br /&gt;
-a always,exit -F path=/usr/libexec/polkit-1/polkit-agent-helper-1 -F perm=x -F auid&amp;gt;=500 -F auid!=4294967295 -k privileged&lt;br /&gt;
-a always,exit -F path=/usr/libexec/openssh/ssh-keysign -F perm=x -F auid&amp;gt;=500 -F auid!=4294967295 -k privileged&lt;br /&gt;
-a always,exit -F path=/usr/libexec/utempter/utempter -F perm=x -F auid&amp;gt;=500 -F auid!=4294967295 -k privileged&lt;br /&gt;
-a always,exit -F path=/usr/libexec/pt_chown -F perm=x -F auid&amp;gt;=500 -F auid!=4294967295 -k privileged&lt;br /&gt;
-a always,exit -F arch=b64 -S creat -S open -S openat -S truncate -S ftruncate -F exit=-EACCES -F auid&amp;gt;=500 -F auid!=4294967295 -k access&lt;br /&gt;
-a always,exit -F arch=b64 -S creat -S open -S openat -S truncate -S ftruncate -F exit=-EPERM -F auid&amp;gt;=500 -F auid!=4294967295 -k access&lt;br /&gt;
-e 2&lt;br /&gt;
&amp;lt;/syntaxhighlight&amp;gt;&lt;br /&gt;
&lt;br /&gt;
== Gérer les règles ==&lt;br /&gt;
&lt;br /&gt;
Il y a donc 2 manières différentes de faire des règles : en statique dans le fichier de conf &amp;lt;path&amp;gt;/etc/audit/audit.rules&amp;lt;/path&amp;gt;, ou à la volée.&lt;br /&gt;
&lt;br /&gt;
Bien sûr, les seules différences entre statique et à la volée sont que :&lt;br /&gt;
&lt;br /&gt;
* l&amp;#039;ajout à la volée ne survit pas à un reboot, alors que statique se lancera avec le daemon auditd&lt;br /&gt;
* la syntaxe des règles statiques est la même que celles à la volée, mis à part l’invocation de auditctl.&lt;br /&gt;
&lt;br /&gt;
=== Création et gestions des règles ===&lt;br /&gt;
&lt;br /&gt;
{{Admon/note|Comme c’est plus facile, et que c’est pratique, nous allons créer quelques règles à la volée.|Il faut par contre enlever la ligne &amp;lt;pre&amp;gt;-e 2&amp;lt;/pre&amp;gt; et la remplacer par &amp;lt;pre&amp;gt;-e 1&amp;lt;/pre&amp;gt; dans le fichier &amp;lt;path&amp;gt;/etc/audit/audit.rules&amp;lt;/path&amp;gt;}}&lt;br /&gt;
&lt;br /&gt;
Pour information, voici les options pour créer un &amp;#039;&amp;#039;watch&amp;#039;&amp;#039; sur le fichier &amp;lt;path&amp;gt;/etc/passwd&amp;lt;/path&amp;gt;, qui relèvera toute tentative en read, write ou append sur ce fichier:&lt;br /&gt;
* w : watch, activer la surveillance&lt;br /&gt;
* p war : fixer le filtre concernant les permissions pour la surveillance d’un fichier. Ici, r pour read, w pour write, x pour execute, a pour append.&lt;br /&gt;
* k passwd-file : clé unique permettant d’identifier l’objet de la requête&lt;br /&gt;
&amp;lt;syntaxhighlight lang=&amp;quot;bash&amp;quot;&amp;gt;&lt;br /&gt;
auditctl -w /etc/passwd -p war -k password-file&lt;br /&gt;
&amp;lt;/syntaxhighlight&amp;gt;&lt;br /&gt;
&lt;br /&gt;
On tente maintenant de chercher le mot &amp;#039;&amp;#039;&amp;#039;root&amp;#039;&amp;#039; dans le fichier &amp;lt;path&amp;gt;/etc/passwd&amp;lt;/path&amp;gt;, à partir d&amp;#039;un utilisateur standard&lt;br /&gt;
&amp;lt;syntaxhighlight lang=&amp;quot;bash&amp;quot;&amp;gt;&lt;br /&gt;
grep root /etc/passwd&lt;br /&gt;
root:x:0:0:root:/root:/bin/bash&lt;br /&gt;
&amp;lt;/syntaxhighlight&amp;gt;&lt;br /&gt;
&lt;br /&gt;
&amp;lt;syntaxhighlight lang=&amp;quot;bash&amp;quot;&amp;gt;&lt;br /&gt;
ausearch -f /etc/passwd&lt;br /&gt;
&amp;lt;/syntaxhighlight&amp;gt;&lt;br /&gt;
J’ai crée un watch sur le fichier /etc/passwd, qui relèvera toute tentative en read, write ou append sur le fichier.&lt;br /&gt;
&lt;br /&gt;
Immédiatement, la tentative -fructueuse- est journalisée et vue par auditd :&lt;br /&gt;
&amp;lt;syntaxhighlight lang=&amp;quot;bash&amp;quot;&amp;gt;&lt;br /&gt;
ausearch -f /etc/passwd&lt;br /&gt;
----&lt;br /&gt;
time-&amp;gt;Fri Sep 2 15:16:50 2011&lt;br /&gt;
type=PATH msg=audit(1314969410.095:9): item=0 name=&amp;quot;/etc/passwd&amp;quot; inode=1982554 dev=08:01 mode=0100644 ouid=0 ogid=0 rdev=00:00&lt;br /&gt;
type=CWD msg=audit(1314969410.095:9): cwd=&amp;quot;/home/k-user/Documents&amp;quot;&lt;br /&gt;
type=SYSCALL msg=audit(1314969410.095:9): arch=40000003 syscall=5 success=yes exit=4 a0=b763b078 a1=80000 a2=1b6 a3=8295090 &lt;br /&gt;
items=1 ppid=6893 pid=28672 auid=4294967295 uid=3100 gid=3000 euid=3100 suid=3100 fsuid=3100 egid=3000 sgid=3000 fsgid=3000 &lt;br /&gt;
tty=(none) ses=4294967295 comm=&amp;quot;ps&amp;quot; exe=&amp;quot;/bin/ps&amp;quot; key=&amp;quot;password-file&amp;quot;&lt;br /&gt;
----&lt;br /&gt;
time-&amp;gt;Fri Sep 2 15:16:52 2011&lt;br /&gt;
type=PATH msg=audit(1314969412.095:10): item=0 name=&amp;quot;/etc/passwd&amp;quot; inode=1982554 dev=08:01 mode=0100644 ouid=0 ogid=0 rdev=00:00&lt;br /&gt;
type=CWD msg=audit(1314969412.095:10): cwd=&amp;quot;/home/k-user/Documents&amp;quot;&lt;br /&gt;
type=SYSCALL msg=audit(1314969412.095:10): arch=40000003 syscall=5 success=yes exit=4 a0=b7669078 a1=80000 a2=1b6 a3=86c6090&lt;br /&gt;
items=1 ppid=6893 pid=28673 auid=4294967295 uid=3100 gid=3000 euid=3100 suid=3100 fsuid=3100 egid=3000 sgid=3000 fsgid=3000&lt;br /&gt;
tty=(none) ses=4294967295 comm=&amp;quot;ps&amp;quot; exe=&amp;quot;/bin/ps&amp;quot; key=&amp;quot;password-file&amp;quot;&lt;br /&gt;
---- [...]&lt;br /&gt;
&amp;lt;/syntaxhighlight&amp;gt;&lt;br /&gt;
&lt;br /&gt;
On peut faire aussi un peu plus lisible, grâce à l’option -i qui interprètera les id (uid, guid, date, …). Plus facile pour le coup d’œil, n’est-ce pas ?&lt;br /&gt;
&amp;lt;syntaxhighlight lang=&amp;quot;bash&amp;quot;&amp;gt;&lt;br /&gt;
ausearch -f /etc/passwd -i&lt;br /&gt;
----&lt;br /&gt;
type=PATH msg=audit(02/09/2011 15:16:50.095:9) : item=0 name=/etc/passwd inode=1982554 dev=08:01 mode=file,644 ouid=root ogid=root&lt;br /&gt;
rdev=00:00&lt;br /&gt;
type=CWD msg=audit(02/09/2011 15:16:50.095:9) : cwd=/home/k-user/Documents&lt;br /&gt;
type=SYSCALL msg=audit(02/09/2011 15:16:50.095:9) : arch=i386 syscall=open success=yes exit=4 a0=b763b078 a1=80000 a2=1b6 a3=8295090&lt;br /&gt;
items=1 ppid=6893 pid=28672 auid=unset uid=k-user gid=k-user euid=k-user suid=k-user fsuid=k-user egid=k-user sgid=k-user fsgid=k-user&lt;br /&gt;
tty=(none) ses=4294967295 comm=ps exe=/bin/ps key=password-file&lt;br /&gt;
----&lt;br /&gt;
type=PATH msg=audit(02/09/2011 15:16:52.095:10) : item=0 name=/etc/passwd inode=1982554 dev=08:01 mode=file,644 ouid=root ogid=root&lt;br /&gt;
rdev=00:00&lt;br /&gt;
type=CWD msg=audit(02/09/2011 15:16:52.095:10) : cwd=/home/k-user/Documents&lt;br /&gt;
type=SYSCALL msg=audit(02/09/2011 15:16:52.095:10) : arch=i386 syscall=open success=yes exit=4 a0=b7669078 a1=80000 a2=1b6 a3=86c6090&lt;br /&gt;
items=1 ppid=6893 pid=28673 auid=unset uid=k-user gid=k-user euid=k-user suid=k-user fsuid=k-user egid=k-user sgid=k-user fsgid=k-user&lt;br /&gt;
tty=(none) ses=4294967295 comm=ps exe=/bin/ps key=password-file&lt;br /&gt;
----&lt;br /&gt;
&amp;lt;/syntaxhighlight&amp;gt;&lt;br /&gt;
&lt;br /&gt;
Les commandes de base sont intuitives, par exemple, le listing des règles en place :&lt;br /&gt;
&amp;lt;syntaxhighlight lang=&amp;quot;bash&amp;quot;&amp;gt;&lt;br /&gt;
auditctl -l&lt;br /&gt;
LIST_RULES: exit,always watch=/etc/passwd perm=rwa key=password-file&lt;br /&gt;
LIST_RULES: exit,always watch=/etc/shadow perm=rwax key=shadow-file&lt;br /&gt;
&amp;lt;/syntaxhighlight&amp;gt;&lt;br /&gt;
&lt;br /&gt;
La suppression d’une règle (attention, une, et autant le dire que les doublons ne sont pas conseillés).&lt;br /&gt;
&lt;br /&gt;
En parlant de doublon, étant donné que l’évaluation d’une règle est parfois coûteuse, comme par exemple l’évaluation de tous les syscall, la factorisation d’expression est préconisée.&lt;br /&gt;
&amp;lt;syntaxhighlight lang=&amp;quot;bash&amp;quot;&amp;gt;&lt;br /&gt;
auditctl -l&lt;br /&gt;
LIST_RULES: exit,always watch=/etc/shadow perm=rwxa key=shadow-file&lt;br /&gt;
LIST_RULES: exit,always watch=/etc/passwd perm=rwa key=passwd-file&lt;br /&gt;
&lt;br /&gt;
auditctl -d exit,never -W /etc/shadow -k shadow-file&lt;br /&gt;
&lt;br /&gt;
auditctl -l&lt;br /&gt;
LIST_RULES: exit,always watch=/etc/passwd perm=rwa key=passwd-file&lt;br /&gt;
&amp;lt;/syntaxhighlight&amp;gt;&lt;br /&gt;
{{Admon/note|Suppression de toutes les règles|le &amp;#039;&amp;#039;delete all&amp;#039;&amp;#039; a déjà été vu dans le fichier de règles : l’option en question est &amp;lt;code&amp;gt;-D&amp;lt;/code&amp;gt;. Bon à savoir quand on veut resetter notre daemon. {{Admon/smiley|:)}}}}&lt;br /&gt;
&lt;br /&gt;
== Reporting ==&lt;br /&gt;
&lt;br /&gt;
Pour ce qui est du reporting, pas de problème non plus, un tas d’options permettant en plus de mettre le focus sur ce que vous avez vraiment envie de consulter.&lt;br /&gt;
&lt;br /&gt;
Pour savoir un peu ce qui tourne, on appellera auditctl.&lt;br /&gt;
&amp;lt;syntaxhighlight lang=&amp;quot;bash&amp;quot;&amp;gt;&lt;br /&gt;
auditctl -s&lt;br /&gt;
AUDIT_STATUS: enabled=2 flag=1 pid=995 rate_limit=0 backlog_limit=320 lost=0 backlog=0&lt;br /&gt;
&amp;lt;/syntaxhighlight&amp;gt;&lt;br /&gt;
&lt;br /&gt;
Alors que pour le reporting à proprement parler, on passera par aureport : ici pour les évènements…&lt;br /&gt;
&amp;lt;syntaxhighlight lang=&amp;quot;bash&amp;quot;&amp;gt;&lt;br /&gt;
aureport -e&lt;br /&gt;
1840. 02/09/2011 16:14:25 1846 USER_AUTH -1 yes&lt;br /&gt;
1841. 02/09/2011 16:14:25 1847 CRED_REFR -1 yes&lt;br /&gt;
1842. 02/09/2011 16:14:23 1840 SYSCALL -1 yes&lt;br /&gt;
&amp;lt;/syntaxhighlight&amp;gt;&lt;br /&gt;
&lt;br /&gt;
Et là pour lister les authentifications, réussi ou pas d’ailleurs {{Admon/smiley|:)}}&lt;br /&gt;
&amp;lt;syntaxhighlight lang=&amp;quot;bash&amp;quot;&amp;gt;&lt;br /&gt;
aureport --auth&lt;br /&gt;
&lt;br /&gt;
Authentication Report&lt;br /&gt;
============================================&lt;br /&gt;
# date time acct host term exe success event&lt;br /&gt;
============================================&lt;br /&gt;
1. 02/09/2011 15:16:46 root ? pts/26 /bin/su yes 4&lt;br /&gt;
2. 02/09/2011 16:14:25 k-user ? :0 /usr/lib/kde4/libexec/kcheckpass yes 1846&lt;br /&gt;
&amp;lt;/syntaxhighlight&amp;gt;&lt;br /&gt;
&lt;br /&gt;
Et enfin, une vue d’ensemble, à la logwatch :&lt;br /&gt;
&amp;lt;syntaxhighlight lang=&amp;quot;bash&amp;quot;&amp;gt;&lt;br /&gt;
aureport --summary&lt;br /&gt;
&lt;br /&gt;
Summary Report&lt;br /&gt;
======================&lt;br /&gt;
Range of time in logs: 19/03/2014 16:03:21.987 - 20/03/2014 15:31:42.762&lt;br /&gt;
Selected time for report: 19/03/2014 16:03:21 - 20/03/2014 15:31:42.762&lt;br /&gt;
Number of changes in configuration: 182&lt;br /&gt;
Number of changes to accounts, groups, or roles: 0&lt;br /&gt;
Number of logins: 19&lt;br /&gt;
Number of failed logins: 10&lt;br /&gt;
Number of authentications: 74&lt;br /&gt;
Number of failed authentications: 1&lt;br /&gt;
Number of users: 3&lt;br /&gt;
Number of terminals: 11&lt;br /&gt;
Number of host names: 3&lt;br /&gt;
Number of executables: 29&lt;br /&gt;
Number of files: 37409&lt;br /&gt;
Number of AVC&amp;#039;s: 3&lt;br /&gt;
Number of MAC events: 23&lt;br /&gt;
Number of failed syscalls: 174&lt;br /&gt;
Number of anomaly events: 0&lt;br /&gt;
Number of responses to anomaly events: 0&lt;br /&gt;
Number of crypto events: 291&lt;br /&gt;
Number of keys: 11&lt;br /&gt;
Number of process IDs: 27664&lt;br /&gt;
Number of events: 45825&lt;br /&gt;
&amp;lt;/syntaxhighlight&amp;gt;&lt;br /&gt;
&lt;br /&gt;
Auditd est un outil bien pratique, à porter de main, qui peut être appliqué dans un contexet de sécurisation et de monitoring comme de reporting sur des modifications effectuées sur les données du système.&lt;br /&gt;
&lt;br /&gt;
Il permet d’avoir un état des lieux concis et indiscutable et de pouvoir remonter le fil des évènements sans devoir dépendre totalement des informations fournies (ou pas) par les auteurs des modifs.&lt;br /&gt;
&lt;br /&gt;
== Liens ==&lt;br /&gt;
&lt;br /&gt;
* http://www.k-tux.com/auditd-monitoring-de-donnees-en-temps-reel&lt;br /&gt;
* http://doc.opensuse.org/products/draft/SLES/SLE-audit-quick_sd_draft/&lt;/div&gt;</summary>
		<author><name>Didier</name></author>
	</entry>
</feed>