Spielst du gerne Detektiv? Vielleicht im Stil eines alten Film-Noirs, nur eben in deinem Serverraum statt in schummrigen Hinterhöfen? Dann komm mit uns auf eine spannende Reise in die Welt der Intrusion Detection. Unser Werkzeug der Wahl: auditd. Einfach, effektiv und - das lieben wir IT-Superhelden - super nerdig.
Erstmal ein paar Fakten: auditd ist der Benutzer-Raum-Teil des Linux Auditing Systems. Es ist quasi die Lupe in der Hand unseres digitalen Detektivs. Mit auditd können wir protokollieren, wer was wann auf unserem System getan hat. Klingt nach NSA? Stimmt, ein bisschen schon. Aber manchmal muss man eben ein kleines bisschen paranoid sein, um seine Systeme sicher zu halten.
Jetzt aber ran an die Tasten. Auditd ist wahrscheinlich bereits auf deinem System installiert. Falls nicht, hol das schnell nach. Unter Ubuntu geht das mit einem schlichten `sudo apt-get install auditd`.
Jetzt wird's spannend: Mit dem Befehl `auditctl -w /etc/passwd -p wa -k passwd_changes` legen wir eine Regel fest, die alle Änderungen an unserer Passwort-Datei protokolliert. Der `-w` Parameter gibt an, welche Datei wir überwachen wollen, `-p wa` bestimmt, welche Aktivitäten (write, append) protokolliert werden sollen und `-k passwd_changes` ist das Schlagwort, unter dem wir die Protokolle später finden können.
Jetzt probier mal, die /etc/passwd Datei zu ändern. Mit `ausearch -k passwd_changes` kannst du dir dann alle Protokolle anzeigen lassen, die mit dem Schlagwort `passwd_changes` markiert sind. Siehst du, wie die auditd-Daten in Echtzeit aktualisiert werden? Fühlt sich an wie in einem echten Krimi, oder?
Aber Vorsicht, Sherlock! Auditd ist kein Allheilmittel. Es kann uns nicht sagen, warum etwas passiert ist, oder welche Daten genau geändert wurden. Es ist eher wie eine Überwachungskamera, die nur zeigt, wer wann wo war. Für eine komplette Intrusion Detection brauchst du also noch ein paar weitere Tools in deinem Detektiv-Koffer.
Dennoch, für eine schnelle und schmutzige Überprüfung, ob jemand Unfug auf deinem System treibt, ist auditd ein nützlicher Helfer. Und wer weiß, vielleicht entdeckst du ja den nächsten digitalen Moriarty. Viel Spaß bei der Einbrecherjagd, Kollege!