Opgave 28 - Audit af et directory¶
🎯 Formålet med øvelsen¶
Formålet med denne øvelse er at demonstrere, hvordan auditd kan overvåge et directory.
Auditd kan ikke kun overvåge ændringer i individuelle filer, men også aktiviteter i hele directories. Dette gør det muligt at overvåge, hvem der tilgår, ændrer eller forsøger at eksekvere filer i et bestemt directory.
📌 Information¶
Directories kan overvåges med auditd på samme måde som filer.
De rettigheder, der kan overvåges, er:
- Read (r) → Når en fil eller directory bliver læst
- Write (w) → Når en fil eller directory bliver ændret
- Attribute (a) → Når filmetadata ændres
- Execute (x) → Når en fil eksekveres, eller nogen forsøger at tilgå directoryet (fx cd /etc/)
Hvis execute (x)-rettigheden overvåges, vil et forsøg på at skifte sti ind i directoryet (fx cd /etc/) udløse en auditlog.
🛠️ Instruktioner¶
-
Opret et nyt directory ved at køre:
-
Opret en auditregel, der overvåger directoryet, med kommandoen:
Bemærk, at permissions bevidst er undladt.
-
Bekræft reglen ved at udskrive audit-reglerne med:
-
Notér, hvilke rettigheder der overvåges. Da
-pikke blev angivet, vil standardrettigheder blive anvendt. -
Ændr ejerskabet af directoryet til
root, og begræns adgang for andre brugere:
-
Test adgangsbegrænsning:
- Log ind med en bruger, der ikke er root.
- Prøv at køre:
-
Dette burde resultere i en Permission Denied-fejl.
-
Analyser loggen for directoryet med:
Dette vil returnere en log, der ligner nedenstående:
📊 Analyse af logs¶
ausearch viser detaljerede logs over audit-hændelser, men kan være mindre overskueligt end aureport. Bemærk, at aureport ikke fungerer for directory-regler. Hvis du leder efter noget specifikt i en stor auditlog, kan du filtrere output med grep: