auditd

auditd es una herramienta que pemite registrar llamadas a sistema y cambios en ficheros. Por ejemplo…

  • señales de terminación (auditctl -a exit,always -F arch=b64 -S kill)
  • cambios en pemisos de fichers (auditctl -w /etc/shadow -p wr -k private-shadow
  • ejecución de programas de un usuario concreto (auditctl -a exit,always -F arch=b64 -F uid=1001 -S execve)

Por defecto, el registro se guarda en /var/log/audit/audit.log

El comando ausearch permite buscar en dicho registro.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *