← retour aux snippets

auditctl: surveiller un fichier ou exec

Ajouter une règle auditd pour tracer accès ou exécutions d'un binaire et les consulter avec ausearch.

objectif

Tracer qui lit, écrit ou exécute un fichier sensible (binaire, clé, config) pour audit et diagnostic.

code minimal

# activer auditd selon distro
sudo systemctl enable --now auditd 2>/dev/null || sudo service auditd start

# surveiller les exécutions de /usr/bin/ssh
sudo auditctl -w /usr/bin/ssh -p x -k watch_ssh_exec

utilisation

# rechercher les évènements liés à la clé 'watch_ssh_exec' depuis 1h
sudo ausearch -k watch_ssh_exec -ts recent | aureport -f -i

variante(s) utile(s)

# surveiller lecture/écriture d'un fichier
sudo auditctl -w /etc/secret.env -p rw -k secret_rw

# règle persistante (extrait) /etc/audit/rules.d/watch.rules
# -w /etc/secret.env -p rw -k secret_rw

notes

  • utilisez des clés (-k) pour filtrer facilement.
  • attention au volume de logs; ciblez précisément les chemins.