Sunucu güvenliğinde sadece dış tehditlere karşı koruma değil, içeride olup biteni kayıt altına almak da büyük önem taşır. Linux sistemlerde bu denetim için kullanılan en güçlü araçlardan biri AuditD’dir. Sistem çağrıları (syscall), dosya erişimleri, kullanıcı işlemleri gibi detaylı kayıtlar tutarak güvenlik açığı tespiti ve KVKK gibi uyumluluklar için kritik rol oynar.
AuditD Nedir?
AuditD (Linux Auditing System), Linux çekirdeği seviyesinde olay izleme sağlar. Özellikle:
- Kim, ne zaman hangi dosyaya erişti?
- Root erişimi nasıl ve ne zaman kullanıldı?
- Sistem yapılandırmaları kim tarafından değiştirildi?
sorularının cevaplarını kayıt altına alır.
AuditD Kurulumu ve Başlatma
Debian tabanlı sistemlerde:
sudo apt install auditd
sudo systemctl enable auditd
sudo systemctl start auditdRHEL tabanlı sistemlerde:
sudo yum install auditLoglama Lokasyonu
Audit logları varsayılan olarak şu dosyada tutulur:/var/log/audit/audit.log
Bu dosya, tüm denetim verilerini içerir ve genellikle dışarıya aktarım (remote log server) veya SIEM sistemlerine entegre edilerek analiz edilir.
Örnek Audit Kuralı
Örnek: /etc/shadow dosyasına erişim denetlensin:
auditctl -w /etc/shadow -p rwxa -k shadow-watchBu kural:
r: okumaw: yazmax: çalıştırmaa: dosya özniteliği değişikliği
eylemlerini izler.
İzleme ve Analiz
Logları filtrelemek için:
ausearch -k shadow-watchAnaliz için:
aureport -aGrafiksel analiz ve daha ileri log yönetimi için Audit logları Graylog, ELK stack gibi sistemlere entegre edilebilir.
AuditD Kullanımının Avantajları
- Kullanıcı davranış analizi
- Yetkisiz erişim tespiti
- KVKK, GDPR ve ISO 27001 uyumluluğu
- Geriye dönük olay inceleme imkanı
Sonuç
AuditD, sunucularda görünmeyeni görünür hale getiren bir denetim sistemidir. Özellikle kritik uygulamalar barındıran VDS ve Cloud Server yapılarında, olay bazlı loglama ile güvenlik seviyesi profesyonel düzeye taşınır.