tecnologo
Digamos que você gostaria de auditar o arquivo /etc/passwd. Você precisa digitar o comando a seguir:
# auditctl -w /etc/passwd -p war -k password-file
Onde:
-w /etc/passwd: Insere o monitoramento para o objeto de sistema no caminho dado. Neste caso monitorar o arquivo chamado /etc/passwd. -p war: Configurar os filtros de permissão para o monitoramento de um sistema de arquivos.
Os valores são r para leitura, w para escrita, x para execução e a para anexar (append).
-k password-file: Configura uma chave para filtragem o monitoramento do arquivo /etc/passwd. As palavras "password-file" são uma palavra-chave (esta palavra chave deve ter no máximo 31 bytes). Esta chave identifica unicamente os registros do audit produzidos pela monitoração.
Resumindo: você está monitorando (vigiando) o arquivo /etc/passwd com vistas a qualquer um (incluindo syscall) que pode efetuar escrita, leitura ou anexar (append) no arquivo.
Espere por algum tempo ou rode o seguinte comando como um usuário comum:
$ grep 'qqcoisa' /etc/passwd
$ vi /etc/passwd
Regra de auditoria para arquivos
Adicione o monitoramento no arquivo /etc/shadow com a palavra-chave "shadow-file", a qual gera registros para "leituras, escritas, execuções e appends" neste arquivo.
# auditctl -w /etc/shadow -k shadow-file -p rwxa
Regra de auditoria para chamadas de sistema (syscall)
A regra a seguir suprime auditoria para saídas de chamadas de sistema "mount":
# auditctl -a exit,never -S mount
Regra para auditoria de sistemas de arquivos
Adicionar o monitoramento no sistema de arquivos /tmp o qual gera registros em todas as "execuções" (legal para um webserver por exemplo):
# auditctl -w /tmp -p e -k webserver-watch-tmp
Regra de auditoria para chamadas de sistema (syscall) usando PID
Para ver todas as chamadas de sistema feitas por um programa chamado sshd (pid - 1005):
# auditctl -a