https://fr-wiki.ikoula.com/index.php?action=history&feed=atom&title=Journaliser_des_actions_avec_auditdJournaliser des actions avec auditd - Historique des versions2026-04-10T22:36:21ZHistorique des révisions pour cette page sur le wikiMediaWiki 1.35.3https://fr-wiki.ikoula.com/index.php?title=Journaliser_des_actions_avec_auditd&diff=31490&oldid=prevMgrelet794f6 : Page créée avec « <span data-link_translate="he"></span><span data-link_translate="ro"></span><span data-link_translate="ru"></span><span data-link_translate="pl"></span><span data-link_tra… »2021-08-11T14:43:19Z<p>Page créée avec « <span data-link_translate="he"></span><span data-link_translate="ro"></span><span data-link_translate="ru"></span><span data-link_translate="pl"></span><span data-link_tra… »</p>
<p><b>Nouvelle page</b></p><div><span data-link_translate="he"></span><span data-link_translate="ro"></span><span data-link_translate="ru"></span><span data-link_translate="pl"></span><span data-link_translate="ja"></span><span data-link_translate="ar"></span><span data-link_translate="zh"></span><span data-link_translate="de"></span><span data-link_translate="nl"></span><span data-link_translate="it"></span><span data-link_translate="pt"></span><span data-link_translate="es"></span><span data-link_translate="he"></span><span data-link_translate="ro"></span><span data-link_translate="ru"></span><span data-link_translate="pl"></span><span data-link_translate="ja"></span><span data-link_translate="ar"></span><span data-link_translate="zh"></span><span data-link_translate="de"></span><span data-link_translate="nl"></span><span data-link_translate="it"></span><span data-link_translate="pt"></span><span data-link_translate="es"></span><span data-link_translate="en"></span><span data-link_translate="he"></span><span data-link_translate="ro"></span><span data-link_translate="ru"></span><span data-link_translate="pl"></span><span data-link_translate="ja"></span><span data-link_translate="ar"></span><span data-link_translate="zh"></span><span data-link_translate="de"></span><span data-link_translate="nl"></span><span data-link_translate="it"></span><span data-link_translate="pt"></span><span data-link_translate="es"></span><span data-link_translate="en"></span><span data-link_translate="he"></span><span data-link_translate="ro"></span><span data-link_translate="ru"></span><span data-link_translate="pl"></span><span data-link_translate="ja"></span><span data-link_translate="ar"></span><span data-link_translate="zh"></span><span data-link_translate="de"></span><span data-link_translate="nl"></span><span data-link_translate="it"></span><span data-link_translate="pt"></span><span data-link_translate="es"></span><span data-link_translate="en"></span><span data-link_translate="he"></span><span data-link_translate="ro"></span><span data-link_translate="ru"></span><span data-link_translate="pl"></span><span data-link_translate="ja"></span><span data-link_translate="ar"></span><span data-link_translate="zh"></span><span data-link_translate="de"></span><span data-link_translate="nl"></span><span data-link_translate="it"></span><span data-link_translate="pt"></span><span data-link_translate="es"></span><span data-link_translate="en"></span><span data-link_translate="he"></span><span data-link_translate="ro"></span><span data-link_translate="ru"></span><span data-link_translate="pl"></span><span data-link_translate="ja"></span><span data-link_translate="ar"></span><span data-link_translate="zh"></span><span data-link_translate="de"></span><span data-link_translate="nl"></span><span data-link_translate="it"></span><span data-link_translate="pt"></span><span data-link_translate="es"></span><span data-link_translate="en"></span><span data-link_translate="he"></span><span data-link_translate="he"></span><span data-link_translate="he"></span><span data-link_translate="he"></span><span data-link_translate="he"></span><span data-link_translate="he"></span><span data-link_translate="ro"></span><span data-link_translate="ru"></span><span data-link_translate="pl"></span><span data-link_translate="ja"></span><span data-link_translate="ar"></span><span data-link_translate="zh"></span><span data-link_translate="ro"></span><span data-link_translate="pl"></span><span data-link_translate="de"></span><span data-link_translate="nl"></span><span data-link_translate="it"></span><span data-link_translate="pt"></span><span data-link_translate="es"></span><span data-link_translate="en"></span><!-- Début de l'article. Placez votre texte ci-après et n'hésitez pas à personnaliser les chapitres selon votre besoin --><br />
<br />
==Introduction== <!--T:1--><br />
Sur des distributions comme '''CentOS/Fedora/RedHat''' le paquet '''auditd''' est installé par défaut, ce qui n'est pas le cas de '''Debian/Ubuntu'''.<br><br />
Nous allons voir comment utiliser cet outil qui permet de journaliser les actions des utilisateurs dans un fichier de log, qui peut être ensuite monitorer, renvoyer dans un ELK, un SIEM,...<br><br />
<br />
<br />
==Déroulé== <!--T:2--><br />
Tout d'abord pour '''Debian/Ubuntu''' il vous faudra installer le paquet :<br />
<pre><br />
# apt update && apt install auditd<br />
</pre><br />
<br />
Ensuite, '''auditd''' propose des options très fines pour auditer, nous allons nous intéresser à une mise en place simple, dans notre cas nous allons monitorer le dossier ''/root'' pour toutes actions (lecture, écriture, changement d'attributs, exécution).<br><br />
<br />
Pour cela nous allons utiliser la commande '''auditctl''' comme ceci :<br />
<pre><br />
# auditctl -w /root -p w -k root-write<br />
# auditctl -w /root -p a -k root-attribute<br />
# auditctl -w /root -p r -k root-read<br />
# auditctl -w /root -p x -k root-execute<br />
</pre><br />
<br />
L'option '''-w''' décrit le chemin à auditer de façon récursive, la racine ('''/''' et les wildcard '''*''' ne sont pas autorisés).<br><br />
L'option '''-p''' décrit le type de permission que l'on souhait auditer.<br><br />
L'option '''-k''' ajoute un clé de filtre à la règle, de cette façon on peut plus facilement parser les logs, surtout pour utiliser derrière une suite de type Elastic stack (ELK).<br><br />
<br />
On peut vérifier les règles en place avec l'option '''-l''' :<br />
<pre><br />
# auditctl -l<br />
-w /root -p w -k root-write<br />
-w /root -p a -k root-attribute<br />
-w /root -p r -k root-read<br />
-w /root -p x -k root-execute<br />
</pre><br />
<br />
Les règles mise en place par '''auditctl''' n'étant pas persistantes (en cas de redémarrage du service ou redémarrage du serveur, elles sont supprimées), vous pouvez ajouter celles-ci telles que renvoyées via la commande précédente dans le fichier ''/etc/audit/rules.d/audit.rules''<br><br />
<br />
==Test== <!--T:2--><br />
<br />
Testons maintenant nos règles, nous allons créer un fichier dans ''/root/test'' :<br />
<pre><br />
# touch /root/test<br />
</pre><br />
<br />
Vérifions le log ''/var/log/audit/audit.log'' :<br />
<pre><br />
type=SYSCALL msg=audit(1628689653.000:162513): arch=c000003e syscall=257 success=yes exit=3 a0=ffffff9c a1=7fff9328b6df a2=941 a3=1b6 items=2 ppid=1174317 pid=1197513 auid=1000 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=2740 comm="touch" exe="/bin/touch" subj==unconfined key="root-write"ARCH=x86_64 SYSCALL=openat AUID="ikoula" UID="root" GID="root" EUID="root" SUID="root" FSUID="root" EGID="root" SGID="root" FSGID="root"<br />
</pre><br />
<br />
On y trouve plein d'informations, notamment notre clé de filtre (key) '''root-write''',<br><br />
la commande utilisée (comm) '''touch''',<br><br />
son binaire appelé (exe) '''/bin/touch''',<br><br />
l'appel système (SYSCALL) '''openat''',<br><br />
l'utilisateur qui a effectué la commande (UID) '''root''';<br><br />
et même l'utilisateur qui s'est logué sur le serveur (AUID) '''ikoula''', et oui je ne me suis pas logué directement en '''root''' et ca '''auditd''' le remonte aussi.<br><br><br><br />
<br />
Essayons maintenant de lire le fichier précédemment créé :<br />
<pre><br />
# cat /root/test<br />
</pre><br />
<br />
Et dans le log:<br />
<pre><br />
type=SYSCALL msg=audit(1628689532.705:162487): arch=c000003e syscall=257 success=yes exit=3 a0=ffffff9c a1=7fff582396eb a2=0 a3=0 items=1 ppid=1174317 pid=1197427 auid=1000 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=2740 comm="cat" exe="/bin/cat" subj==unconfined key="root-read"ARCH=x86_64 SYSCALL=openat AUID="ikoula" UID="root" GID="root" EUID="root" SUID="root" FSUID="root" EGID="root" SGID="root" FSGID="root"<br />
</pre><br />
<br />
On voit bien la commande '''cat''' et notre clé de filtre '''root-read'''.<br><br><br><br />
<br />
Nous allons maintenant changer les droits du fichier :<br />
<pre><br />
# chmod +x /root/test<br />
</pre><br />
<br />
Dans le log :<br />
<pre><br />
type=SYSCALL msg=audit(1628689657.616:162514): arch=c000003e syscall=268 success=yes exit=0 a0=ffffff9c a1=55b873de8660 a2=1ed a3=fffffffffffffd6f items=1 ppid=1174317 pid=1197630 auid=1000 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=2740 comm="chmod" exe="/bin/chmod" subj==unconfined key="root-attribute"ARCH=x86_64 SYSCALL=fchmodat AUID="ikoula" UID="root" GID="root" EUID="root" SUID="root" FSUID="root" EGID="root" SGID="root" FSGID="root"<br />
</pre><br />
<br />
On voit bien la commande '''chmod''' et notre clé de filtre '''root-attribute'''.<br><br><br><br />
<br />
Nous allons exécuter ce fichier :<br />
<pre><br />
# ./root/test<br />
</pre><br />
<br />
Dans le log :<br />
<pre><br />
type=SYSCALL msg=audit(1628689659.680:162516): arch=c000003e syscall=59 success=no exit=-8 a0=556e942a0480 a1=556e942a04c0 a2=556e942446f0 a3=fffffffffffff286 items=2 ppid=1174317 pid=1197707 auid=1000 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=2740 comm="bash" exe="/bin/bash" subj==unconfined key="root-execute"ARCH=x86_64 SYSCALL=execve AUID="ikoula" UID="root" GID="root" EUID="root" SUID="root" FSUID="root" EGID="root" SGID="root" FSGID="root"<br />
</pre><br />
<br />
On voit bien la commande '''bash''' et notre clé filtre '''root-execute'''.<br><br><br><br />
<br />
Pour finir supprimons le fichier :<br />
<pre><br />
# rm -f /root/test<br />
</pre><br />
<br />
Dans le log :<br />
<pre><br />
type=SYSCALL msg=audit(1628689664.761:162518): arch=c000003e syscall=263 success=yes exit=0 a0=ffffff9c a1=55ad66c2b630 a2=0 a3=fffffffffffff2cb items=2 ppid=1174317 pid=1197714 auid=1000 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=2740 comm="rm" exe="/bin/rm" subj==unconfined key="root-write"ARCH=x86_64 SYSCALL=unlinkat AUID="ikoula" UID="root" GID="root" EUID="root" SUID="root" FSUID="root" EGID="root" SGID="root" FSGID="root"<br />
</pre><br />
<br />
On voit bien la commande '''rm''' et notre clé filtre '''root-write'''.<br />
<br />
<br />
<!--T:4--><br />
<!-- Fin de l'article --><br />
<br /><br /><br />
Cet article vous a semblé utile ? <vote /><br />
<br />
<!--T:5--><br />
<br />
<!-- Commentaire --><br />
<comments /><br />
<br />
<!-- Placez ci-dessous la ou les catégories auxquelles se rapporte votre article. Ex: [[Catégorie:Contribuer]] [[Catégorie:Linux]] --><br />
[[Catégorie:Linux]]</div>Mgrelet794f6