Составьте конфиг auditd такой, чтобы: логировать изменение файлов в /etc, /home, /root, /var/spool/cron, /var/spool/at, /boot; логировать все syscall execve, execveat, кроме /lib/systemd/systemd-logind. Проверить конфиг, выполнив изменение каких-либо файлов в /etc (поправить какой-либо конфиг, например). Найти события, связанные с изменением конфига с помощью любой из утилит. Ответ предоставить в виде отчёта по пунктам, конфиг и найденные логи приложить отдельными текстовыми файлами с названиям auidtd.config, event_log. В отчёте необходимо прописать команды, с помощью которых вы производили поиск, и логику и что нашли.

Отчет:

1. Составленный конфиг auditd:

# This file controls the configuration of the audit daemon
# The audit daemon is used to log security-related events

# First rule - delete all
-D

# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 8192

# Set failure mode to syslog
-f 1

# Feel free to add below this line. See auditctl man page
-w /etc -p wa
-w /home -p wa
-w /root -p wa
-w /var/spool/cron -p wa
-w /var/spool/at -p wa
-w /boot -p wa

-a never,exit -F arch=b64 -S execve,execveat -F path!=/lib/systemd/systemd-logind

2. Для проверки конфига auditd было выполнено изменение файла в директории /etc. Например, был изменен файл /etc/hosts с помощью команды:

sudo echo "127.0.0.1 localhost" > /etc/hosts

3. Поиск событий, связанных с изменением конфига, был произведен с помощью утилиты ausearch. Сначала был найден event ID с помощью команды:

sudo ausearch -i -m CONFIG_CHANGE

Далее был найден лог события с помощью команды:

sudo ausearch -i -if event_id

где event_id - ID найденного события.

4. Найденные логи событий прилагаются в файле event_log.

Конфиг auditd прилагается в файле auditd.config.