linux audit user run apps
1.0.0
การบันทึกแอปพลิเคชันกราฟิกที่เปิดตัวโดยผู้ใช้ (เพื่อรวบรวมสถิติ)
ระบบทำงานดังนี้:
execve() ) และหยุด (การเรียกระบบ exit_group() และ kill() ) ของแอปพลิเคชันจะถูกโหลดลงในปีศาจ auditdในขณะนี้รองรับ KDE (plasmashell) เท่านั้น แต่จะไม่มีปัญหาในการกำหนดกระบวนการของผู้อื่น DE คือการเพิ่มการสนับสนุนของ DE อื่น ๆ
การเปิดตัวและการหยุดเฉพาะโปรแกรมเหล่านั้นที่เปิดตัวโดยตรงจาก DE ตัวอย่างเช่นหากผู้ใช้จาก DE เปิดตัวเบราว์เซอร์โครเมียมและเครื่องเล่น VLC จากโครเมียมการเปิดตัวโครเมียมจะได้รับการจำนำและการเปิดตัว VLC ไม่ได้
การดูบันทึกการตรวจสอบจะดำเนินการใน journalctl หรือจากบันทึกของปีศาจการตรวจสอบเช่นนี้:
ausearch -k laura_process_startausearch -k laura_process_end Auditd Demon สามารถปรับได้เพื่อไม่ให้เขียนไฟล์ /var/log/audit/audit.log* วารสารปีศาจสามารถ "กิน" เหตุการณ์ของการตรวจสอบ ในการทำเช่นนี้คุณต้องระบุใน /etc/audit/auditd.conf : write_logs = no ไฟล์จากนั้นเหตุการณ์ทั้งหมดของการตรวจสอบจะถูกเก็บไว้ใน Journald เท่านั้น คุณสามารถกำหนดค่าบันทึกวารสารส่วนกลางจากคอมพิวเตอร์ที่แตกต่างกันไปยังเซิร์ฟเวอร์เดียวตามคำแนะนำ
ในการเปรียบเทียบเหตุการณ์การเปิดตัว (LAURA_PROCESS_START) และหยุด (LAURA_PROCESS_END) โปรแกรมสามารถเป็นไปตาม PID - ตัวระบุที่ไม่ซ้ำกันโดยกระบวนการพิจารณาเวลาของการดำเนินการเป็นความแตกต่างระหว่างฉลากชั่วคราวและเครื่องหมายการเปิดตัว
การติดตั้งจากแหล่งที่มา:
sudo make install
การติดตั้งจากที่เก็บ Rosa Linux:
sudo dnf install linux-audit-user-run-apps (หรือ: sudo dnf install laura )
การติดตั้งจากที่เก็บ Alt Linux:
sudo apt-get install linux-audit-user-run-apps (หรือ: sudo apt-get install laura )
หลังจากการติดตั้งให้ดำเนินการ:
sudo systemctl enable --now laura.path
