linux audit user run apps

Pencatatan aplikasi grafis yang diluncurkan oleh pengguna (untuk mengumpulkan statistik).

Sistem berfungsi sebagai berikut:

• DE (lingkungan desktop grafis) diluncurkan;
• Aturan yang menangkap peluncuran (System Call execve() ) dan Stop (System Calls exit_group() dan kill() ) dari aplikasi dimuat ke dalam Demon auditd .

Saat ini, hanya KDE (Plasmashell) yang didukung, tetapi tidak akan ada masalah untuk meresepkan proses apa pun yang lain, dengan demikian menambahkan dukungan dari DE lainnya.

Peluncuran dan penghentian hanya program -program yang diluncurkan langsung dari DE. Jika, misalnya, pengguna dari DE meluncurkan browser Chromium, dan pemutar VLC dari Chromium, maka peluncuran kromium akan dijanjikan dan peluncuran VLC tidak.

Melihat catatan audit dilakukan baik di journalctl , atau dari log iblis auditd seperti ini:

• ausearch -k laura_process_start
• ausearch -k laura_process_end

Demon auditd dapat disetel agar tidak menulis file /var/log/audit/audit.log* , jurnal, iblis dapat "memakan" peristiwa audit. Untuk melakukan ini, Anda perlu menentukan dalam /etc/audit/auditd.conf : write_logs = no file, maka semua peristiwa audit hanya akan disimpan di Journald. Anda dapat mengonfigurasi log jurnald terpusat dari komputer yang berbeda ke satu server sesuai dengan instruksi.

Untuk membandingkan acara peluncuran (laura_process_start) dan berhenti (laura_process_end), program ini dapat menurut PID - pengidentifikasi unik dengan proses tersebut, mengingat waktu operasinya sebagai perbedaan antara label sementara dan tanda peluncuran.

Instalasi dari Sumber:

sudo make install

Instalasi dari repositori Rosa Linux:

sudo dnf install linux-audit-user-run-apps (atau: sudo dnf install laura )

Instalasi dari repositori Alt Linux:

sudo apt-get install linux-audit-user-run-apps (atau: sudo apt-get install laura )

Setelah instalasi, lakukan:

sudo systemctl enable --now laura.path