چگونه من از AuditD برای گرفتن تهدیدهای امنیتی خاموش در لینوکس استفاده می کنم | توسط فاروک احمد | مه 2025

داستان فقط عضو

چگونه من از AuditD برای گرفتن تهدیدهای امنیتی خاموش در لینوکس استفاده می کنم

–

سهم

محتوای کامل وبلاگ:

مقدمه:

برخی از حملات در سیاهههای مربوط به شما نشان داده نمی شوند. آنها خدمات خراب نمی کنند و هشدارهای مختلفی را ایجاد نمی کنند. آنها بی سر و صدا مجوزها را تغییر می دهند ، پرونده ها را ویرایش می کنند یا باینری هایی را که انتظار نداشتید اجرا می کنند. این جایی است که حسابرسی وارد می شود – Daemon حسابرسی لینوکس که دقیقاً به شما می گوید چه اتفاقی افتاده است ، چه زمانی و توسط چه کسی. در اینجا نحوه تنظیم آن و استفاده از آن برای نظارت بر قسمت های سیستم من که مهاجمان دوست دارند لمس کنند ، آورده شده است.

1. نصب حسابرسی

✅ اوبونتو:

sudo apt install auditd

✅ کلاه قرمز:

sudo yum install audit

سپس آن را فعال و شروع کنید:

sudo systemctl enable auditdsudo systemctl start auditd

2. نظارت بر دسترسی به /etc /passwd و /etc /سایه

این پرونده ها اغلب برای افزایش امتیاز یا ایجاد کاربر هدف قرار می گیرند.

auditctl -w /etc/passwd -p wa -k passwd_watchauditctl -w /etc/shadow -p wa -k shadow_watch

✅ فعالیت را بررسی کنید:

ausearch -k passwd_watch

3. برای اعدام های باینری غیر منتظره تماشا کنید

👉 وبلاگ کامل را در اینجا بخوانید