Составьте конфиг auditd linux 1 изменение файлов в /etc, /home, /root, /var/spool/cron, /var/spool/at, /boot; 2 все syscall execve, execveat, кроме /lib/systemd/systemd-logind. Проверить конфиг, выполнив изменение каких-либо файлов в /etc (поправить какой-либо конфиг, например). Найти события, связанные с изменением конфига с помощью любой из утилит. Например: Использовал cat /var/log/audit | grep “execve” — искал все вызовы syscall execve, с целью дальнейшей их фильтрации по имени исполняемого файла. Поиск с помощью grep мне не подошёл — неудобно смотреть события, поэтому решил воспользоваться утилитой aureport с ключами...

Для создания конфигурации auditd в Linux для выполнения указанных задач, необходимо отредактировать файл /etc/audit/audit.rules. Вот пример конфигурации:

# Правила для отслеживания изменений файлов
-w /etc -p wa
-w /home -p wa
-w /root -p wa
-w /var/spool/cron -p wa
-w /var/spool/at -p wa
-w /boot -p wa

# Правила для отслеживания syscall execve и execveat, исключая /lib/systemd/systemd-logind
-a always,exit -F arch=b64 -S execve,execveat -F path!=/lib/systemd/systemd-logind -k execve_audit

После внесения изменений в файл audit.rules, необходимо перезапустить службу auditd для применения новой конфигурации:

sudo systemctl restart auditd

Для проверки работы конфигурации можно внести изменения в какой-либо файл в директории /etc, например, отредактировать файл /etc/passwd. После этого можно просмотреть логи auditd с помощью команды:

sudo ausearch -k execve_audit

Эта команда выведет все события, связанные с вызовами syscall execve и execveat, исключая /lib/systemd/systemd-logind. Для более детального анализа событий можно воспользоваться утилитой aureport или другими утилитами для работы с логами auditd.