Tutoriel 📝 Configuration de Sysmon pour la surveillance approfondie (Linux)

Sylvain* · 24/1/25

Implémentation de la journalisation avancée des événements système sous Linux

Introduction

Ce guide présente les étapes nécessaires pour mettre en place une journalisation avancée des événements système sous Linux en utilisant auditd, un démon puissant conçu pour enregistrer des activités critiques du système. Cette configuration est idéale pour surveiller la sécurité et le comportement des systèmes Linux.

Prérequis

• Avoir un accès root ou sudo.

• Installer le package auditd, généralement inclus dans les dépôts officiels.

• Un système Linux basé sur Debian, Ubuntu ou CentOS.

• Connaître les bases des fichiers de configuration sous Linux

Code:

/etc

Méthodologie

Introduction

• Nous utiliserons deux approches :

• Méthode 1 : Installation et configuration manuelle d’auditd.

• Méthode 2 : Utilisation de scripts bash pour automatiser la configuration.

Avantages des 2 méthodes

Avantage de la méthode 1:

Un contrôle total sur les règles et politiques de surveillance.

Avantage de la méthode 2:

Gain de temps dans l’implémentation et la gestion des règles.

Inconvénients des 2 méthodes

Inconvénient de la méthode 1:

Configuration initiale plus lente et fastidieuse.

Inconvénient de la méthode 2:

Peut nécessiter des ajustements manuels si des erreurs surviennent.

Étapes à suivre pour la méthode 1

• Installez auditd :

Code:

sudo apt update && sudo apt install auditd

• Démarrez le service et configurez-le pour qu’il démarre au démarrage :

Code:

sudo systemctl enable auditd && sudo systemctl start auditd

• Configurez les règles dans

Code:

/etc/audit/audit.rules

:

Code:

-w /etc/passwd -p wa -k passwd_changes
-w /var/log/ -p wa -k log_changes

• Redémarrez le service pour appliquer les modifications :

Code:

sudo systemctl restart auditd

• Vérifiez les journaux avec :

Code:

sudo ausearch -k passwd_changes

Étapes à suivre pour la méthode 2

• Créez un script pour installer et configurer automatiquement auditd :

Code:

#!/bin/bash
sudo apt update && sudo apt install auditd -y
sudo systemctl enable auditd && sudo systemctl start auditd
echo "-w /etc/passwd -p wa -k passwd_changes" | sudo tee -a /etc/audit/audit.rules
sudo systemctl restart auditd

• Exécutez le script :

Code:

bash setup_auditd.sh

Astuce

Utilisez auditctl pour ajouter ou tester des règles dynamiquement sans redémarrer auditd.

Mise en garde

Évitez d’utiliser des règles trop larges, car elles pourraient générer un volume excessif de journaux et saturer le stockage.

Conseil

Programmez une rotation des journaux avec logrotate pour éviter de remplir votre disque.

Solution alternative

Si auditd est trop complexe, envisagez d’utiliser journald, intégré à systemd, pour une journalisation basique.

Références

• Google

• Ubuntu FR

• Debian FR

Conclusion

La journalisation avancée avec auditd offre une visibilité critique sur les événements système. En suivant ces étapes, vous pouvez adapter votre configuration aux besoins spécifiques de votre environnement.

Source: Tutoriaux-Excalibur, merci de partager.

Vous trouvez Tutoriaux-Excalibur intéressant ?

Tutoriel 📝 Configuration de Sysmon pour la surveillance approfondie (Linux)

Sylvain*

Campagne de dons

Dons pour T-E

Messages récents

En ligne

Statistiques des forums

Nouveaux membres

Partager cette page

Nous accordons une grande importance à votre vie privée