Jak monitorować dostęp do plików na Raspberry Pi za pomocą Auditd

Bezpieczeństwo plików jest kluczowym aspektem każdego systemu, szczególnie w przypadku Raspberry Pi, który jest często używany w różnych aplikacjach. Auditd to potężne narzędzie, które pozwala użytkownikom monitorować i rejestrować dostęp do ważnych plików na Raspberry Pi. Może to być przydatne w identyfikowaniu i zapobieganiu nieautoryzowanemu dostępowi, a także w rozwiązywaniu problemów z możliwymi problemami bezpieczeństwa. Robi to, tworząc plik dziennika zawierający metadane dotyczące podjętych działań i dostępnych plików. Ten plik dziennika może być używany do rozwiązywania problemów i identyfikacji podejrzanej aktywności lub nieautoryzowanego dostępu do ważnych plików.

Jeśli chcesz zainstalować, zapoznaj się z procedurami tego artykułu Auditd w systemie Raspberry Pi.

Jak zainstalować audytd na Raspberry Pi

Możesz nauczyć się instalować Auditd na Raspberry Pi, wdrażając te proste kroki:

Krok 1: Najpierw użyj poniższego polecenia, aby upewnić się, że wszystkie pakiety w twoim systemie zostały zaktualizowane:

Aktualizacja sudo apt

Krok 2: Następnie musisz zainstalować Auditd na Raspberry Pi za pomocą apt-get Komenda.

sudo apt-get instaluj audytd

Jak monitorować pliki za pomocą Auditd na Raspberry Pi

Główny cel Auditd oznacza obsługę kontroli zachowania użytkownika. Oferuje metodę kojarzenia działań z niektórymi kontami, umożliwiając administratorom przestrzeganie działań, którzy je wzięli, jakie elementy lub obiekty były zaangażowane i kiedy wydarzenie miało miejsce.

Auditd może prawie całkowicie zagwarantować odpowiedzialność, gdy jest używana w połączeniu z silnymi zasadami bezpieczeństwa, takimi jak uwierzytelnianie i autoryzacja zabezpieczone przez szyfrowanie.

Domyślne ustawienia demona są następnie ustalane w pliku /etc/audyt/audytd.conf i możesz go wyświetlić za pomocą następującego polecenia:

sudo cat/etc/audyt/audytd.conf

Wiele kluczowych parametrów pliku jest oczywiste i ma rozsądne wartości domyślne. Możemy użyć odniesienia do konfiguracji dla reszty.

Może być konieczne ustanowienie określonych zasad na podstawie, na podstawie których przeprowadzono audyt na Raspberry Pi.

Plik /etc/audyt/audyt.zasady Zawiera reguły domyślne, które można wyświetlić z następującego polecenia:

sudo cat/etc/audyt/audyt.zasady

Aby skutecznie dodać zasady, musisz je edytować, jeśli masz właściwe zrozumienie. W przeciwnym razie możesz kontynuować domyślny.

Jak rozpocząć demon audytd

Jeśli zmieniłeś reguły, możesz uruchomić następujące polecenie, aby sprawdzić, czy jakiekolwiek zmiany są dokonywane w pliku.

sudo augenrules -sprawdź

Ponieważ idziemy z domyślnym, więc powyższe polecenie wyświetla komunikat "bez zmiany".

W przypadku zmiany musisz załadować konfigurację za pomocą następującego polecenia:

sudo augenrules -load

Aby wykonać Auditd Demon na Raspberry Pi, użyj następującego polecenia:

Sudo Auditd

Aby zobaczyć rewizja.dziennik Plik dla systemu Raspberry Pi, użyj następujących kot Komenda:

sudo cat/var/log/audyt/audyt.dziennik

Możesz także użyć Auditd narzędzie wiersza polecenia do monitorowania określonej aktywności w systemie. Na przykład, jeśli chcesz monitorować działania wykonywane „/Home/PI” Katalog możesz użyć następującego polecenia:

sudo ausearch -f /home /pi

Usuń audytd z Raspberry Pi

Użyj następującego polecenia w terminalu, aby usunąć Auditd z systemu Raspberry Pi, jeśli nie używasz już jego funkcji.

sudo apt-get usuń audytd

Wniosek

Auditd jest potężnym narzędziem do monitorowania dostępu do ważnych plików na Raspberry Pi. Można go użyć do skonfigurowania reguł audytu w celu monitorowania dostępu do określonych plików, folderów, użytkowników lub programów. Możliwość zainstalowania go prosto z repozytorium pakietów Raspberry Pi za pomocą "trafny" Polecenie sprawia, że ​​instalacja jest prosta.