AUDIT: Auditoria de arquivos no Linux para conhecer quem fez alterações em arquivos

ericitaquera

Como fazer auditoria de eventos tais quais leitura/escrita etc? Como eu posso usar o audit para ver quem alterou um arquivo no Linux? Eis a solução.

[ Hits: 82.077 ]

Por: Eric Miranda em 09/01/2009 | Blog: http://slackade.blogspot.com/

2 0
Denuncie   Favoritos   Indicar   Impressora

Tarefa: instalar o pacote audit



O pacote audit contém os utilitários de espaço de usuário para armazenamento e pesquisa dos registros gerados pelo sistema audit do kernel 2.6. CentOS/Red Hat e Fedora core incluem o pacote rpm no audit em suas distribuições oficiais. Utilize o yum ou up2date para instalar o pacote.

# yum install audit
ou
# up2date install audit

Para configurar o serviço para iniciar durante a inicialização do sistema:

# ntsysv
ou
# chkconfig auditd on

Inicie então o serviço do audit:

# /etc/init.d/auditd start

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. Tarefa: instalar o pacote audit
   3. Como configurar a monitoração de um arquivo para auditoria?
   4. Como eu descubro quem alterou ou acessou o arquivo /etc/passwd?
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada

Análise de Atividades Suspeitas com Audit

Distribuição CAINE Linux para forense digital: em Live-CD, pendrive, máquina virtual ou direto em seu Ubuntu 10.04

Libsafe: Protegendo Linux contra Smashing Overflow

5 comandos que ninguém nunca deve executar no Linux

Autenticação de servidores CentOS/Red Hat 6 em Windows 2008

  
Comentários
[1] Comentário enviado por evilrick em 09/01/2009 - 15:51h

Muito bom.
Esse é o tipo de serviço necessário para qualquer administrador de sistemas de qualquer tipo de organização.
O problema (se é que dá para chamar assim :P ) parece ser apenas o volume de informações gerado.

[2] Comentário enviado por ericitaquera em 10/01/2009 - 00:27h

Este é o primeiro artigo que eu publico nesse site. Pensei que daria para editar / acrescentar mais coisas.

A configuração padrão realmente gera muito dado. Mas é facilmente customizável.

Por exemplo, se vc quiser excluir os eventos gerados pelo cron.

# auditctl -a exit,never -x crond
# auditctl -a entry,never -x crond

flw!


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Trabalhando Nativamente com Logs no Linux

Jogando Daikatana (Steam) com Patch 1.3 via Luxtorpeda no Linux

LazyDocker – Interface de Usuário em Tempo Real para o Docker

Instalando COSMIC no Linux Mint

Turbinando o Linux Mint: o poder das Nemo Actions

Dicas

Apagar Todo o Histórico do Terminal

Linux Mint: Zram + Swapfile em Btrfs

Pós Instalação Ubuntu 26.04

O widget do Plasma 6 Área de Notificação

[Resolvido] Algo deu errado ao abrir seu perfil

Tópicos

Pendrive do Ubuntu 24.04 travando ao tentar fazer a instalação dual bo... (4)

Instalar Dual Boot, Linux+Windows. (14)

queria saber de uma coisa sobre o steam e derivados (3)

tentei instalar o steam pelo terminal, agora ele não abre (3)

Internet não funciona corretamente no Linux (1)

Top 10 do mês

Scripts

[Shell Script] Script de limpeza, atualização e verificação de erros no Debian

[C/C++] hexfile - conversor de binario/hexadecimal

[Shell Script] clean_server.sh - Script para limpar o servidor

[Shell Script] Instalação remota de pacotes

[Shell Script] Script para Teste de Rede

A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

Site hospedado por: