Auditd
Overview
Auditd (Linux Audit Daemon) est le démon d'audit du noyau Linux qui enregistre les événements système, syscalls, accès aux fichiers, modifications de configuration, et autres activités pour la sécurité, la conformité, et la détection d'anomaliesAuditd utilise le framework d'audit du noyau Linux (audit subsystem) pour capturer les événements à bas niveau et les enregistrer dans des logs détaillés.
Auditd est particulièrement adapté aux environnements nécessitant un audit complet des activités système : systèmes soumis à des exigences réglementaires (PCI-DSS, HIPAA, SOX), environnements critiques, systèmes nécessitant une traçabilité complète, et infrastructures nécessitant une détection d'anomalies basée sur les événements système.
Dans un contexte DevOps/SRE, Auditd peut être configuré pour enregistrer les événements critiques, intégré avec les SIEM pour la corrélation d'événements, et utilisé pour la détection d'anomalies et la réponse aux incidentsLes logs peuvent être centralisés et analysés pour identifier les comportements suspects.
Informations essentielles
| Propriété | Valeur |
|---|---|
| Site officiel | https://github.com/linux-audit/audit-userspace |
| Licence | GPL v2 |
| Plateformes | Linux |
| Difficulté | Intermédiaire |
TL;DR
Auditd est le démon d'audit standard du noyau Linux pour enregistrer les événements système et syscallsIl est particulièrement utile pour l'audit de conformité, la traçabilité complète, et la détection d'anomaliesPoints forts : intégration noyau, enregistrement détaillé, support de règles flexiblesLimite principale : génération de logs volumineux nécessitant stockage et analyse, configuration des règles peut être complexe.
Cas d'usage typiques
- Audit de conformité pour répondre aux exigences réglementaires (PCI-DSS, HIPAA, SOX)
- Enregistrement des accès aux fichiers sensibles et modifications de configuration
- Détection d'anomalies basée sur les patterns d'activité système
- Traçabilité complète des actions administratives et utilisateurs
- Intégration avec les SIEM pour corrélation d'événements
- Réponse aux incidents avec analyse forensique des logs
Avantages
- Intégration native avec le noyau Linux
- Enregistrement détaillé des événements système et syscalls
- Règles flexibles et configurables (audit.rules)
- Support de la centralisation des logs
- Compatible avec les SIEM et outils d'analyse
- Traçabilité complète pour conformité
- Communauté active et documentation
Limites
- Génération de logs volumineux nécessitant stockage important
- Configuration des règles peut être complexe
- Performance overhead possible avec règles nombreuses
- Nécessite expertise pour interpréter les logs
- Analyse des logs nécessite outils spécialisés
- Peut générer beaucoup de bruit si mal configuré
- Nécessite maintenance régulière des règles
Intégration dans un socle DevOps / SRE
Auditd peut être intégré dans un socle DevOps/SRE de plusieurs manières. Des playbooks Ansible peuvent configurer Auditd, déployer les règles d'audit, et configurer la rotation des logs. Les règles peuvent être versionnées dans Git et déployées via les pipelines CI/CD pour assurer la cohérence.
Pour la centralisation, les logs Auditd peuvent être envoyés vers les SIEM (Wazuh, ELK, Splunk) via rsyslog ou directement, permettant la corrélation avec d'autres événements de sécurité. Les logs peuvent être analysés avec des outils comme ausearch et aureport, ou intégrés dans des dashboards de sécurité. Auditd peut également être utilisé pour la détection d'anomalies, avec des règles spécifiques pour les événements critiques (modifications de fichiers sensibles, exécutions suspectes, etc.).
Ressources
- GitHub : https://github.com/linux-audit/audit-userspace
- Documentation : https://github.com/linux-audit/audit-documentation
- Guide de configuration : https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html/security_hardening/auditing-the-system_security-hardening
- Wiki : https://github.com/linux-audit/audit-userspace/wiki