[1] Auditd – Instalacja

6 marca 2022 Wyłączono przez Adam [zicherka] Nogły

Skonfiguruj audyt systemu przez Auditd.

Możliwe jest monitorowanie wywołań systemowych, zdarzeń bezpieczeństwa, dostępu do plików, wykonywania poleceń i tak dalej.

[1] Pakiet audytu jest instalowany domyślnie, nawet przy minimalnej instalacji CentOS Stream 8, ale jeśli nie, zainstaluj go w następujący sposób.

[root@vlsr01 ~]# dnf install audit
[root@vlsr01 ~]# systemctl enable --now auditd

[2] Zalecam zmianę niektórych wartości w pliku konfiguracyjnym auditd.conf.

[root@vlsr01 ~]# mcedit /etc/audit/auditd.conf
# linia 7: lokalizacja logów
log_file = /var/log/audit/audit.log
# linia 12: maksymalna wielkość pliku logow (MegaBytes)
max_log_file = 8
# linia 13: liczba plików logów [max_log_file_action=ROTATE]
num_logs = 5
# linia 15: nazwa hosta w pliku logow
# możliwe wartości: NONE, HOSTNAME, FQD, NUMERIC, USER
name_format = NONE
# linia 16: nazwa hosta jaka chcesz jeśli [name_format=USER]
##name = mydomain
# linia 17: akcja, gdy plik loga przekroczy rozmiar
# możliwe wartości: IGNORE, SYSLOG, SUSPEND, ROTATE, KEEP_LOGS
max_log_file_action = ROTATE