linux audit user run apps Télécharger les applications - linux audit user run apps Code Source Download

linux audit user run apps

Autre code source

1.0.0

Télécharger

Applications de l'exécution de l'utilisateur de l'audit Linux

Enregistrement des applications graphiques lancées par l'utilisateur (pour collecter des statistiques).

Le système fonctionne comme suit:

De (Environnement de bureau graphique) est lancé;
Les règles qui captent le lancement (System Call execve() ) et STOP (System Calls exit_group() et kill() ) des applications sont chargées dans le démon auditd .

Pour le moment, seul KDE (Plasmashell) est pris en charge, mais il n'y aura aucun problème pour prescrire les processus des autres DE, ajoutant ainsi le soutien des autres DE.

Le lancement et l'arrêt des seuls programmes qui ont été lancés directement à partir de DE. Si, par exemple, l'utilisateur de DE a lancé le navigateur Chromium et le lecteur VLC de Chromium, le lancement du chrome sera promis et que le lancement VLC ne l'est pas.

La visualisation des enregistrements d'audit est réalisée soit dans journalctl , soit à partir des journaux du démon Auditd comme ceci:

ausearch -k laura_process_start
ausearch -k laura_process_end

Le démon Auditd peut être réglé afin de ne pas écrire de fichiers /var/log/audit/audit.log* , le journal, le démon peut "manger" les événements de l'audit. Pour ce faire, vous devez spécifier dans le fichier /etc/audit/auditd.conf : write_logs = no de fichier, alors tous les événements de l'audit ne seront stockés que dans JournalD. Vous pouvez configurer les journaux de journaux centralisés de différents ordinateurs vers un seul serveur en fonction des instructions.

Pour comparer les événements de lancement (Laura_Process_Start) et Stop (Laura_Process_end), le programme peut être conformément au PID - un identifiant unique par le processus, considérant le temps de son fonctionnement comme la différence entre les étiquettes temporaires et les marques de lancement.