Suivre les changements avec Auditd

Si un pirate modifie un fichier, comment le savoir ? auditd est le système d'audit de Linux.

Utilisation :

• Installation : sudo apt install auditd.
• Surveiller un fichier : sudo auditctl -w /etc/passwd -p wa -k passwd_changes.
• Rechercher dans les logs : ausearch -k passwd_changes.

Pratique :

Créez une règle pour surveiller toute modification du répertoire contenant le code source de votre site web.