Tutoriel 📝 Surveillance des événements de démarrage sous Linux avec auditd

[Sylvain*]

Surveillance des événements de démarrage sous Linux avec auditd

Introduction

• Ce tutoriel explique comment surveiller les événements de démarrage sous Linux avec auditd.

• L’outil auditd permet d’enregistrer les accès au système et d’alerter en cas d’anomalies.

---

Prérequis

• Un système sous Ubuntu, Debian ou CentOS.

• Un accès root ou sudo.

• Installer auditd avec la commande :

sudo apt install auditd -y

---

Méthodologie

• Méthode 1 : Configuration d’auditd avec un fichier de règles.

• Méthode 2 : Surveillance en temps réel via la ligne de commande.

---

Étapes pour chaque méthode

Méthode 1 : Configuration de auditd

Modifier les règles d’audit :

sudo nano /etc/audit/rules.d/audit.rules

Ajouter la ligne suivante pour surveiller les tentatives de modification du noyau :

-w /boot -p wa -k boot_monitoring

Redémarrer le service :

sudo systemctl restart auditd

---

Méthode 2 : Surveillance en temps réel

Afficher les événements récents avec :

sudo ausearch -k boot_monitoring

Générer un rapport détaillé :

sudo aureport -k

---

Références

• Documentation auditd

• Sécurité Debian

---

Conclusion

• La surveillance des événements de démarrage améliore la sécurité des systèmes Linux.

• L’outil auditd offre une approche robuste pour l’audit et la détection des anomalies.