Journalisez les actions de vos utilisateurs avec Auditd

Au-delà de la tendance à la journalisation et l’audit à tous crins, de nombreuses règlementations imposent de tracer les actions réalisées par les utilisateurs d’un système. Le framework Auditd, disponible nativement sur la majeure partie des distributions GNU/Linux, permet de répondre à ces exigences en surveillant les activités d’un système. Il permet de générer des journaux d’événements afin d’enregistrer des informations sur les différentes activités qui rythment la vie d’un système, des accès aux fichiers en passant par les processus exécutés par des administrateurs.

Au sommaire de l’article

1 Un peu d’histoire

2 Architecture

2.1 Mode de fonctionnement

2.2 Composants

3 Installation

3.1 Configuration

3.2 Pluggable Authentication Module

4 Règles

4.1 Type

4.2 Édition

4.3 Implémentation

4.3.1 Règles de contrôle

4.3.2 Règles sur les accès au système de fichiers

4.3.3 Règles sur les appels système

4.3.4 Labels

4.4 Journaux

4.4.1 Gestion

4.4.2 Propriétés

4.4.3 Analyse

4.5 Impacts sur le système

4.5.1 Évaluation

4.5.2 Optimisations

4.5.2.1 Organisation
4.5.2.2 Filtres
4.5.2.3 Exclusions

5 Les outils disponibles

5.1 La gestion avec auditctl

5.2 La recherche avec ausearch

5.3 La génération de rapports avec aureport

5.4 Le debug avec autrace

6 Un keylogger avec pam_tty_audit

6.1 Configuration

6.2 Journaux

6.2.1 Structure

6.2.2 Analyse

7 Protection

7.1 Prévention de la perte de journaux

7.1.1 Politique de rétention

7.1.2 Alertes

7.2 Protection de la politique d’audit

8 Centralisation des journaux d’audit

8.1 Déport avec le plugin remote

8.1.1 Configuration du collecteur

8.1.2 Configuration des clients

8.2 Déport avec Syslog

9 Supervision

9.1 Visualisation à l’aide de scripts

9.2 Intégration dans un SIEM

10 Limites

10.1 POC

10.2 Contre-mesures

11 Pour aller plus loin

Conclusion

Références

Christian Perez

 > Lire l’intégralité de cet article sur notre plateforme de lecture en ligne Connect  

Retrouvez cet article (et bien d’autres) dans GNU/Linux Magazine Hors-série n°93, disponible sur la boutique et sur Connect !