Categories
Internet, Unix en security

File auditing in Linux

Controle krijgen over een machine en behouden begint door te weten wat er allemaal speelt. Een van de aspecten is om te weten wat er met bepaalde bestanden gebeurt. Windows NT heeft deze functionaliteit al jaren, maar met de komst van de 2.6 kernel is Linux nu ook in staat om auditing op bestanden en directories vast te leggen.

Op veel Linux-distributies is tegenwoordig al de audit-daemon geïnstalleerd en actief, maar vaak ontbreekt er nog een configuratie. Toch beginnen we met het installeren om zeker te zijn dat onze Debian-machine de juiste software heeft.

$ sudo apt-get install auditd audispd-plugins

Nu de machine voorzien is van de juiste software wordt het tijd om aan te geven welke bestanden we willen monitoren voor wijzigingen. In het voorbeeld hieronder gaan we /etc/passwd monitoren op schrijfacties en /etc/shadow op schrijf- en leesacties. En bij controle zien we wat de configuratie is waarmee de auditing draait op het systeem.

$ sudo auditctl -w /etc/shadow -p wa
$ sudo auditctl -w /etc/passwd -p w
$ sudo auditctl -l
LIST_RULES: exit,always watch=/etc/shadow perm=rw
LIST_RULES: exit,always watch=/etc/passwd perm=w

Door nu bv met cat de inhoud van /etc/shadow te tonen kan worden gezien in /var/log/audit/audit.log wat er gebeurt, maar ook wie het doet inclusief welke inode dit is. Het wordt dus tijd om elk bestand met een username/password te gaan monitoren wat er precies gebeurt.

By Hans Spaans

Unix & security consultant with a passion for Linux, Solaris, PostgreSQL, Perl and network services, but also a strong believer in open and free source, standards and content.