🔎 Auditd: как Linux отслеживает всё, что происходит в системе

Auditd — это встроенная система аудита в Linux, которая записывает кто, что и когда сделал в системе.
Если тебе нужно понять, *кто удалил файл*, *кто получил доступ к /etc/shadow* или *когда изменили конфиг* — это как раз его задача.

❓ Как это работает
Auditd состоит из нескольких частей:
▶️ auditd (демон) — собирает и пишет логи
▶️ auditctl — добавляет правила (что именно отслеживать)
▶️ ausearch / aureport — помогает анализировать логи

🧠 Что можно отслеживать
Auditd умеет фиксировать почти всё:
🔁 доступ к файлам и каталогам
🪧 действия пользователей
❗️ попытки входа
💻 запуск команд
🧾 попытки аутентификации

⬇️ Установка
В большинстве дистрибутивов Auditd доступен из стандартных репозиториев:

Debian / Ubuntu:

apt install auditd audispd-plugins

RHEL / CentOS:

yum install audit

После установки сервис обычно запускается автоматически. При необходимости:

systemctl enable auditd
systemctl start auditd

🎯 Пример использования
Добавим правило для отслеживания изменений файла /etc/passwd:

auditctl -w /etc/passwd -p wa -k passwd_changes

Параметры:
-w — указание файла для наблюдения
-p wa — отслеживание записи (write) и изменения атрибутов (attribute)
-k — ключ для удобного поиска событий

🛡 Расположение логов

Журналы аудита по умолчанию сохраняются в:

/var/log/audit/audit.log

Для анализа рекомендуется использовать:
* ausearch — выборка событий
* aureport — генерация отчетов

#linux #auditd #cybersecurity #infosec #sysadmin #logging #security #devops

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером