|
Les règles de contrôle d'audit sont un élément essentiel du cadre de sécurité Linux. Les règles de contrôle d'audit sont gérées par des outils de configuration auditd tels que auditctl et ausearch et permettent aux administrateurs système de spécifier quand et quels événements liés à la sécurité sont enregistrés.
Vous trouverez ci-dessous un guide étape par étape pour définir les règles de contrôle d'audit dans Rocky Linux 8 :
1. Ouvrez le fichier de configuration d'audit
Pour accéder et modifier les règles de contrôle d'audit, vous devez ouvrir le fichier de configuration d'audit. Cela peut être accompli en utilisant un éditeur de texte avec les privilèges root. Dans cet exemple, nous utiliserons l'éditeur de texte vi :
```
sudo vi /etc/audit/audit.rules
```
2. Comprendre la syntaxe des règles de contrôle d'audit
Dans le fichier audit.rules, vous rencontrerez des règles exprimées dans un format spécifique. Chaque règle se compose de trois éléments principaux :
a) Action :ceci spécifie quelle action doit être entreprise lorsqu'une règle correspond. Les deux actions courantes sont « autoriser » et « refuser ».
b) Spécificateur de champ :cela détermine quel aspect de l'événement est mis en correspondance avec la règle. Par exemple, le spécificateur de champ « comm » correspond au nom du processus, tandis que « key » correspond à la clé spécifique.
c) Spécificateur de valeur :il s'agit de la valeur qui sera comparée lorsqu'un événement se produit. Il peut s'agir d'une valeur unique ou d'une expression régulière.
3. Rédaction d'une règle de contrôle d'audit
Grâce à la connaissance de la syntaxe des règles de contrôle d'audit, vous pouvez créer une nouvelle règle. A titre d'exemple, créons une règle qui enregistre toutes les tentatives d'accès au fichier "/etc/passwd" :
```
-w /etc/passwd -p wa -k pass_access
```
4. Explication de la règle personnalisée :
-w : Ce spécificateur correspond aux événements de surveillance de fichier, en particulier à toute tentative d'écriture ou de modification du fichier.
-p : Ce spécificateur se concentre sur l'autorisation et est défini sur « wa », indiquant les tentatives d'accès en écriture.
-k : Ce spécificateur définit la clé de la règle sur « pass_access », ce qui nous permet de rechercher facilement des événements liés à cette règle spécifique.
5. Enregistrez la configuration de l'audit
Une fois que vous avez créé vos règles personnalisées, enregistrez le fichier audit.rules en appuyant sur la touche Echap suivie de ":wq" pour enregistrer et quitter vi.
6. Redémarrez le démon d'audit
Pour que les nouvelles règles de contrôle d'audit prennent effet, vous devez redémarrer le service auditd :
```
redémarrage du service sudo auditd
```
7. Vérifier les règles de contrôle d'audit
Vous pouvez vérifier que les règles de contrôle d'audit ont été mises en œuvre avec succès à l'aide de la commande ausearch :
```
ausearch -k pass_access
```
Cette commande affichera tous les événements enregistrés selon la clé "pass_access" que vous avez spécifiée dans votre règle personnalisée.
Conclusion
Les règles de contrôle d'audit de Rocky Linux 8 offrent aux administrateurs système un contrôle granulaire sur la journalisation des événements liés à la sécurité. En élaborant et en mettant en œuvre ces règles avec soin, vous pouvez atteindre un niveau plus élevé de sécurité et de conformité du système. N'oubliez pas de toujours tenir compte des exigences spécifiques de votre système et de consulter la documentation officielle de Rocky Linux pour toute information supplémentaire ou scénarios d'utilisation avancés.
|
