nano /etc/audit/rules.d/audit.rules
z.B.
# Software Management ---------------------------------------------
# DPKG/APT (Debian/Ubuntu)
-w /usr/bin/dpkg -p x -k software_mgmt
-w /usr/bin/apt-add-repository -p x -k software_mgmt
-w /usr/bin/apt-get -p x -k software_mgmt
-w /usr/bin/apt -p x -k software_mgmt_
Audit restart:
service auditd restart
Ausschalten per:
auditctl -e 0
Part II. //Optionen
Regeln sichten:
auditctl -l
Status abrufen per:
auditctl -s
Part III. //Details
... mehr folgt nach weiterführender Beschäftigung mit dem Thema
.
source: