Auditd — это подсистема аудита для операционной системы Linux. Она предоставляет инструменты для отслеживания и записи событий, происходящих в системе, что помогает в обеспечении безопасности и обнаружении инцидентов. Auditd позволяет анализировать различные события, включая изменения в системных файлов, доступ к ресурсам, сетевые соединения и т. д.

Настройка auditd на Linux включает несколько шагов. Вначале необходимо установить пакет auditd.

apt-get install auditd

Затем следует настроить конфигурационный файл /etc/audit/auditd.conf, чтобы указать параметры аудита, такие как место хранения логов и максимальный размер файла.

Один из наиболее важных параметров конфигурации auditd — это параметр log_file, который определяет путь и имя файла, в который будут записываться аудитовые сообщения. Вы можете задать путь и имя файла с помощью следующей команды:

sudo sed -i ‘s/^log_file.*/log_file = \/var\/log\/audit\/audit.log/’ /etc/audit/auditd.conf

После настройки auditd необходимо запустить его и настроить автозапуск при загрузке системы. В большинстве дистрибутивов Linux это можно сделать с помощью следующих команд:

sudo systemctl start auditdsudo systemctl enable auditd

После выполнения этих шагов Linux auditd будет успешно установлен и настроен на вашей системе. Теперь вы можете использовать его для аудита событий и контроля безопасности вашей системы.

Для создания пользовательских правил аудита необходимо отредактировать файл конфигурации audit.rules, который находится в директории /etc/audit/. В этом файле можно указать различные правила для отслеживания конкретных событий, таких как изменение файловой системы, попытки аутентификации и множество других.

Например, чтобы отслеживать все изменения в директории /var/www/, можно добавить следующее правило:

-w /var/www/ -p wa -k website_changes

В данном правиле мы указываем путь к директории, тип события (запись и атрибуты) и метку ключа, которая поможет нам идентифицировать событие в журналах.

После внесения изменений в файл audit.rules необходимо применить их с помощью команды auditctl -R /etc/audit/audit.rules. Это загрузит новые правила аудита и перезапустит службу auditd, чтобы она начала отслеживать новые события в системе.

Также можно использовать команды auditctl -D и auditctl -F для удаления и просмотра текущих правил аудита соответственно.

После конфигурирования правил аудита и отслеживания событий, можно просмотреть аудиторские журналы с помощью команды ausearch. Например, чтобы просмотреть все события, связанные с директорией /var/www/, можно выполнить следующую команду:

ausearch -k website_changes

Эта команда вернет все события, которые были зарегистрированы с меткой website_changes.

Перед проведением анализа аудиторских журналов полезно использовать фильтры для сужения объема данных. С помощью auditctl можно задать различные параметры поиска, такие как тип события, идентификаторы процесса, пользователи и др. Например, можно использовать следующую команду для отображения только событий, связанных с изменениями файлов:

auditctl -a exit,always -S open,truncate,ftruncate,creat,openat,open_by_handle_at -F arch=b64 -F key=files

Также можно использовать инструменты визуализации данных, такие как графики и диаграммы, чтобы сделать процесс анализа и интерпретации аудиторских журналов более удобным и наглядным.

ausearch -k files | aureport -f -i

Nmon – это простой, легкий и удобный инструмент, который позволяет вам видеть, что происходит на вашем сервере. Nmon предоставляет простой интерфейс ncurses для отображения использования системных ресурсов Linux, таких как процессор, память, сеть, диски, файловая система, NFS, верхние процессы, ресурсы и многое другое.

Для дистрибутивов на базе Ubuntu и Debian вы можете установить Nmon с помощью следующей команды.

apt install nmon -y

Откройте интерфейс командной строки и просто выполните следующую команду для запуска интерфейса Nmon cli.

nmon

Использование системы мониторинга позволяет оперативно обнаруживать и решать проблемы, повышать эффективность работы, предотвращать сбои и снижать риски. Она является важным инструментом для поддержания стабильности и надежности работы различных систем и объектов.