Tutoriel 📝 Auditer l'accès aux fichiers et dossiers sensibles sous Linux

[Sylvain*]

Auditer l'accès aux fichiers et dossiers sensibles sous Linux

Introduction

Ce tutoriel explique comment configurer l'audit des accès aux fichiers et dossiers sensibles sous Linux, en utilisant le démon auditd.

Nous verrons comment mettre en place des règles d'audit pour surveiller les actions sur des fichiers ou dossiers spécifiques.

---

Prérequis

• Distribution Linux avec le paquet auditd installé (la plupart des distributions l'incluent par défaut)

• Droits sudo (ou root)

• Connaissance de base de la ligne de commande

---

Méthode 1 : Configuration via l'interface graphique

Certaines distributions Linux proposent des interfaces graphiques pour configurer auditd. Par exemple, sous GNOME, l'outil "Paramètres" peut inclure une section "Confidentialité" avec des options d'audit.

L'interface et les options varient selon la distribution et l'environnement de bureau. Consultez la documentation de votre distribution pour plus d'informations.

Étapes à suivre pour la méthode 1

• Ouvrez les "Paramètres" de votre système.

• Naviguez jusqu'à la section "Confidentialité" ou "Sécurité".

• Recherchez les options liées à l'audit des fichiers et dossiers.

• Activez l'audit et configurez les options selon vos besoins (fichiers/dossiers à surveiller, actions à auditer, etc.).

---

Méthode 2 : Configuration via la ligne de commande

Cette méthode utilise la ligne de commande et le fichier de configuration

/etc/audit/audit.rules

pour gérer les règles d'audit.

Étapes à suivre pour la méthode 2

• Ouvrez un terminal.

• Modifiez le fichier

/etc/audit/audit.rules

avec un éditeur de texte (ex:

sudo nano /etc/audit/audit.rules

).

• Ajoutez une règle d'audit pour le fichier ou dossier à surveiller. Par exemple, pour surveiller les accès en lecture et écriture (

-p rw

) sur le fichier

/chemin/vers/fichier_sensible

et attribuer la clé "surveillance_fichier" à cette règle :

-w /chemin/vers/fichier_sensible -p rw -k surveillance_fichier

• Enregistrez le fichier et fermez l'éditeur.

• Redémarrez le service auditd pour appliquer les modifications :

sudo systemctl restart auditd

• Vous pouvez consulter les journaux d'audit avec la commande

ausearch

. Par exemple, pour afficher les événements liés à la règle "surveillance_fichier" :

sudo ausearch -k surveillance_fichier

---

Avantages des 2 méthodes

Avantage de la méthode 1

Interface graphique plus conviviale pour certains utilisateurs.

Avantage de la méthode 2

Offre un contrôle plus précis et permet de configurer des règles d'audit complexes.

---

Inconvénients des 2 méthodes

Inconvénient de la méthode 1

Les options disponibles peuvent être limitées selon l'interface graphique.

Inconvénient de la méthode 2

Nécessite une connaissance de la ligne de commande et du fichier de configuration

audit.rules

.

---

Astuce

Utilisez des clés (

-k

) pour organiser vos règles d'audit et faciliter la recherche d'événements dans les journaux.

---

Mise en garde

L'audit peut générer un volume important de données. Configurez des règles précises et surveillez la taille des journaux.

---

Conseil

Consultez la documentation de auditd (

man auditd

et

man auditd.conf

) pour plus d'informations sur les options de configuration.

---

Solution alternative

Des outils comme auditctl permettent de gérer les règles d'audit de manière plus interactive.

• https://connect.ed-diamond.com/GNU-...z-les-actions-de-vos-utilisateurs-avec-auditd

---

Conclusion

auditd est un outil puissant pour surveiller l'accès aux fichiers et dossiers sensibles sous Linux. En configurant des règles d'audit adaptées à vos besoins, vous pouvez renforcer la sécurité de votre système et détecter les accès non autorisés.

Source: Tutoriaux-Excalibur, merci de partager.