objectif
Tracer qui lit, écrit ou exécute un fichier sensible (binaire, clé, config) pour audit et diagnostic.
code minimal
# activer auditd selon distro
sudo systemctl enable --now auditd 2>/dev/null || sudo service auditd start
# surveiller les exécutions de /usr/bin/ssh
sudo auditctl -w /usr/bin/ssh -p x -k watch_ssh_exec
utilisation
# rechercher les évènements liés à la clé 'watch_ssh_exec' depuis 1h
sudo ausearch -k watch_ssh_exec -ts recent | aureport -f -i
variante(s) utile(s)
# surveiller lecture/écriture d'un fichier
sudo auditctl -w /etc/secret.env -p rw -k secret_rw
# règle persistante (extrait) /etc/audit/rules.d/watch.rules
# -w /etc/secret.env -p rw -k secret_rw
notes
- utilisez des clés (-k) pour filtrer facilement.
- attention au volume de logs; ciblez précisément les chemins.