Отслеживание изменений в конфигурационных файлах с помощью Auditctl

Чтобы отследить действия с помощью auditctl для примера возьмем AMail, а выполнить потребуется следующее:

1) Проверить включен ли сервис auditd

sudo systemctl status auditd

Если выключен, то включить:

sudo systemctl start auditd

2) Включить аудит для конфигурационных файлов AMail:

auditctl -w /home/user/.amail -p wa -k amail_config

Замените путь "/home/user/.amail" на фактический путь до своей директории AMail.

3) Для просмотра изменений в конфигурациях используйте команду:

sudo ausearch -k amail_config

К примеру мы вносили изменения в белый список адресов, выполнив команду "sudo ausearch -k amail_config" мы увидим обращения к конфигурационным файлам:

time->Mon Feb  5 11:25:47 2024
type=PROCTITLE msg=audit(1707121547.195:1861): proctitle="/usr/bin/AMail"
type=PATH msg=audit(1707121547.195:1861): item=1 name="/home/user/.amail/w1b6ok3c.default/permissions.sqlite" inode=416217 dev=fd:00 mode=0100644 ouid=1000 
ogid=1000 rdev=00:00 obj=unlabeled nametype=DELETE cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0
type=PATH msg=audit(1707121547.195:1861): item=0 name="/home/user/.amail/w1b6ok3c.default/" inode=395234 dev=fd:00 mode=040700 ouid=1000 ogid=1000 rdev=00:00 obj=unlabeled nametype=PARENT cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0
type=CWD msg=audit(1707121547.195:1861): cwd="/home/user"
type=SYSCALL msg=audit(1707121547.195:1861): arch=c000003e syscall=87 success=yes exit=0 a0=7f9686fa1b77 a1=7f9686fa1b77 a2=0 a3=7ffe4cdca080 items=2 ppid=2096 pid=2706 
auid=1000 uid=1000 gid=1000 euid=1000 suid=1000 fsuid=1000 egid=1000 sgid=1000 fsgid=1000 tty=(none) ses=11 comm=6D6F7A53746F7261676520233131 exe="/usr/lib64/AMail/AMail" subj=kernel key="amail_config"

Где "/home/user/.amail/w1b6ok3c.default/permissions.sqlite", является путем куда вносились изменения после наших действий в программе AMail.