Sur une machine ayant des données sensible, il serait intéressant de surveiller les changements qui pourrait y avoir dan un dossier ou même dans un fichier.
Ce dont nous aurons besoin c'est du paquet suivant :
apt install auditd
Il n'y a pas besoin de la configuré d'avantage. Par défaut les paramètres sont correcte. Les activités aperçus seront listé dans le fichier /var/log/audit/audit.log
Il y a pas mal d'infos qui transite et le mieux est de surveiller avec la commande suivante (par exemple) :
tail -f /var/log/audit/audit.log |grep -e 'SYSCALL' -e 'PATH'
Elles peuvent s'ajouter, se lister, se supprimer, … grâce à auditctl
auditctl -l
auditctl -D
auditctl -R file.conf
auditctl -a exit,always -F path=/tmp -F perm=a
L'option perm peut avoir ces options :
a = changement d'attribut w = ecriture r = lecture x = execution
Rien de plus simple. L'astuce est d'ajouter les règles temporairement pour les tester puis de les lister pour finalement les ajouter dans la configuration générale. Ainsi :
auditctl -l -w /var/tmp -p a
On ajoute la règle à la fin du fichier suivant :
vim /etc/audit/audit.rules
Il reste plus qu'a redémarrer le service :
/etc/init.d/auditd reload
Chaque ligne dans le log décrit les appels système et on peut effectuer des recherches détaillés :
ausearch -f /var/mon-fichier.txt
ausyscall x86_64 <$syscall_ID>