Come monitorare l'accesso al file su Raspberry Pi utilizzando AUDITD

Come monitorare l'accesso al file su Raspberry Pi utilizzando AUDITD

La sicurezza del file è un aspetto cruciale di qualsiasi sistema, in particolare per un Raspberry Pi, che viene spesso utilizzato in una varietà di applicazioni. auditd è uno strumento potente che consente agli utenti di monitorare e registrare l'accesso a file importanti su un Raspberry Pi. Ciò può essere utile per identificare e prevenire l'accesso non autorizzato, nonché per la risoluzione dei problemi di sicurezza. Lo fa creando un file di registro contenente metadati sulle azioni intraprese e sui file a cui si vedeva. Questo file di registro può essere utilizzato per risolvere i problemi e identificare attività sospette o accesso non autorizzato a file importanti.

Fare riferimento alle procedure di questo articolo se si desidera installare auditd su un sistema di Raspberry Pi.

Come installare di auditd su un Raspberry Pi

Puoi imparare come installare auditd Su un Raspberry Pi implementando questi semplici passaggi:

Passo 1: Innanzitutto, utilizzare il comando fornito di seguito per assicurarti che tutti i pacchetti sul sistema siano stati aggiornati:

Sudo Apt Aggiornamento


Passo 2: Quindi devi installare Auditd su Raspberry Pi usando il Apt-get comando.

sudo apt-get install auditd


Come monitorare i file utilizzando AUDITD su Raspberry Pi

L'obiettivo principale di auditd è supportare il controllo del comportamento dell'utente. Offre un metodo per associare le attività a determinati account, consentendo agli amministratori di seguire quale azione è stata intrapresa, chi ha preso, quali oggetti o oggetti sono stati coinvolti e quando si è verificato l'evento.

auditd può quasi garantire completamente la responsabilità se utilizzata in combinazione con forti principi di sicurezza come l'autenticazione e l'autorizzazione garantiti dalla crittografia.

Le impostazioni predefinite del demone vengono quindi stabilite nel file /etc/audit/auditd.conf E puoi visualizzarlo usando il seguente comando:

sudo cat/etc/audit/auditd.conf



Molti dei parametri cruciali del file sono autoesplicativi e hanno impostazioni predefinite ragionevoli. Possiamo utilizzare un riferimento di configurazione per il resto.

Potrebbe essere necessario stabilire determinate regole sulla base in cui verrà eseguito il controllo su Raspberry Pi.

Il file /etc/audit/audit.regole Contiene regole predefinite, che è possibile visualizzare dal seguente comando:

sudo cat/etc/audit/audit.regole



Per aggiungere regole in modo efficace, devi modificarle se hai una comprensione adeguata. Altrimenti, puoi continuare con quello predefinito.

Come avviare Auditd Daemon

Se hai modificato le regole, è possibile eseguire il comando seguente per verificare se vengono eseguite modifiche nel file.

Sudo Augenrules --Check



Dal momento che andiamo con quello predefinito, quindi il comando sopra emette il messaggio "nessun cambiamento".

In caso di modifica, è necessario caricare la configurazione utilizzando il comando seguente:

Sudo Augenrules -Caricamento



Per eseguire il auditd Daemon su Raspberry Pi, usa il seguente comando:

sudo auditd



Per visualizzare il audit.tronco d'albero File per il sistema Raspberry Pi, usa quanto segue gatto comando:

sudo cat/var/log/audit/audit.tronco d'albero



Puoi anche usare il auditd Strumento della linea di comando per monitorare una determinata attività sul sistema. Come se vuoi monitorare le attività svolte "/Home/pi" Directory, è possibile utilizzare il seguente comando:

sudo ausearch -f /home /pi


Rimuovi auditd da Raspberry Pi

Utilizzare il seguente comando nel terminale per rimuovere auditd Dal sistema Raspberry Pi se non si utilizza più le sue caratteristiche.

sudo apt-get rimuovi auditd


Conclusione

IL auditd è uno strumento potente per monitorare l'accesso a file importanti su un Raspberry Pi. Può essere utilizzato per impostare le regole di audit per monitorare l'accesso a file, cartelle, utenti o programmi specifici. Essere in grado di installarlo direttamente dal repository di pacchetti Raspberry Pi utilizzando il "Apt" Il comando rende l'installazione e la sua rimozione semplice.