objectif
Retrouver qui a changé un fichier ou exécuté une commande sensible.
code minimal
# derniers execs de /usr/bin/passwd
sudo ausearch -f /usr/bin/passwd -m EXECVE -ts recent | less
utilisation
# rapport de connexions
sudo aureport -au -ts today
variante(s) utile(s)
# par UID
sudo ausearch -ua 1000 -m EXECVE -ts today
notes
- nécessite auditd actif et règles (voir auditctl).
- outputs verbeux; filtrez soigneusement.