システムの起動設定変更の監視
OSのブートローダー設定ファイルが書き換えられた際にログを残します。
実行コマンド
sudo auditctl -w /boot/grub/grub.cfg -p wa -k grub_modify💡 利用シーン
OS起動時の挙動を不正に変更される攻撃や、許可されていないカーネルパラメータの追加を検知したい場合。
💻 実行結果例
type=SYSCALL msg=audit(1698334600.555:458): arch=c000003e syscall=openat success=yes📝 実務メモ
ブート領域の改ざんはシステム全体の乗っ取りに直結するため、監視の優先度が高い項目です。
⚠️ 注意点
アップデートによる自動更新と攻撃による改ざんを区別して判断する必要があります。