Mengaktifkan AuditD untuk Keamanan Sistem di Rocky Linux

Daftar Isi

Pernahkah Anda merasa khawatir jika ada aktivitas mencurigakan di server Anda, tetapi tidak tahu bagaimana cara mengetahuinya? Banyak pengguna Linux pemula, khususnya di Rocky Linux, sering kali tidak menyadari pentingnya memiliki sistem pencatat (audit system) yang aktif. Padahal, tanpa pencatatan log yang tepat, pelanggaran keamanan bisa terjadi tanpa terdeteksi sama sekali.

Di sinilah AuditD berperan penting. AuditD adalah komponen keamanan bawaan Linux yang mencatat semua aktivitas penting dalam sistem — mulai dari perubahan file sensitif, login, hingga perintah yang dijalankan oleh pengguna. Dengan AuditD, Anda bisa mengetahui siapa melakukan apa, kapan, dan di mana.

Jika Anda masih bingung bagaimana cara mengaktifkan dan menggunakannya dengan benar, tenang saja. Dalam artikel ini, Anda akan mendapatkan:

Penjelasan singkat tentang apa itu AuditD dan mengapa penting untuk keamanan.
Langkah demi langkah cara mengaktifkan AuditD di Rocky Linux.
Cara memantau log audit dengan efektif.
Tips konfigurasi dasar agar sistem Anda tetap aman dan efisien.

Apa Itu AuditD?

AuditD (Audit Daemon) adalah layanan di sistem Linux yang bertugas mencatat aktivitas pengguna dan proses di dalam sistem. Tujuannya untuk melacak tindakan penting, seperti:

Akses atau perubahan pada file sistem.
Upaya login yang gagal.
Perubahan konfigurasi atau izin file.
Eksekusi perintah oleh pengguna tertentu.

AuditD sangat penting untuk keamanan server, forensik digital, dan pemenuhan kepatuhan keamanan (compliance) seperti PCI-DSS atau HIPAA.

Langkah-Langkah Mengaktifkan AuditD di Rocky Linux

1. Memeriksa Status AuditD

Sebelum mulai, periksa apakah AuditD sudah terpasang dan aktif:

sudo systemctl status auditd

sudo systemctl status auditd

Jika muncul status inactive atau not found, lanjutkan ke langkah berikutnya.

2. Menginstal AuditD

Gunakan perintah berikut untuk menginstal paket AuditD:

sudo dnf install audit -y

sudo dnf install audit -y

Setelah terinstal, aktifkan dan jalankan layanan:

sudo systemctl enable auditd
sudo systemctl start auditd

sudo systemctl enable auditd
sudo systemctl start auditd

Pastikan layanan sudah berjalan dengan:

sudo systemctl status auditd

sudo systemctl status auditd

Jika tertulis active (running), berarti AuditD sudah aktif di sistem Anda.

3. Memeriksa dan Membaca Log Audit

AuditD secara default mencatat semua aktivitas ke dalam file:

/var/log/audit/audit.log

/var/log/audit/audit.log

Untuk melihat log secara langsung:

sudo less /var/log/audit/audit.log

sudo less /var/log/audit/audit.log

Atau, untuk mencari peristiwa tertentu seperti login:

sudo ausearch -m LOGIN

sudo ausearch -m LOGIN

Anda juga bisa menampilkan log terbaru dengan:

sudo aureport

sudo aureport

Perintah ini menghasilkan laporan ringkas dari seluruh log audit yang dikumpulkan.

4. Mengatur Aturan Audit (Audit Rules)

AuditD bekerja berdasarkan rules (aturan) yang menentukan apa saja yang perlu dipantau.

Edit file aturan utama:

sudo nano /etc/audit/rules.d/audit.rules

sudo nano /etc/audit/rules.d/audit.rules

Contoh aturan sederhana:

Memantau perubahan pada file /etc/passwd

-w /etc/passwd -p wa -k passwd_changes

-w /etc/passwd -p wa -k passwd_changes

Artinya: pantau (watch) file tersebut untuk aksi tulis (write) dan ubah atribut (attribute change), dengan label kunci passwd_changes.

Memantau akses ke folder /etc/ssh

-w /etc/ssh/ -p rwxa -k ssh_access

-w /etc/ssh/ -p rwxa -k ssh_access

Setelah selesai, muat ulang aturan audit:

sudo augenrules --load

sudo augenrules --load

5. Memastikan AuditD Berjalan Saat Booting

Agar AuditD otomatis aktif setiap kali sistem menyala, pastikan layanan diaktifkan secara permanen:

sudo systemctl enable auditd

sudo systemctl enable auditd

Kemudian reboot server untuk memastikan semuanya berjalan lancar:

sudo reboot

sudo reboot

6. Tips Konfigurasi AuditD untuk Pemula

Gunakan aturan spesifik, jangan terlalu banyak log umum agar tidak membebani sistem.
Rutin periksa ukuran file log (/var/log/audit/audit.log) agar tidak memenuhi disk.
Gunakan aureport dan ausearch untuk menganalisis data audit tanpa membuka file mentah.
Simpan log audit ke server terpisah jika digunakan di lingkungan produksi.

Dengan mengaktifkan AuditD, kini Anda sudah selangkah lebih maju dalam menjaga keamanan sistem Rocky Linux Anda. Anda bisa memantau aktivitas penting, mendeteksi upaya akses mencurigakan, dan memiliki bukti audit yang lengkap jika terjadi insiden.

Ingin memperdalam topik keamanan Linux? Baca juga: [Mengkonfigurasi SELinux di Rocky Linux: Menerapkan Kebijakan Keamanan]

👉 Jika Anda ingin memperdalam, jangan lewatkan artikel terkait lainnya:

Menggunakan Cron Job untuk Menjadwalkan Tugas

Konfigurasi DHCP Server dan Relay di Lingkungan Multi-Subnet

Menggunakan Ansible untuk Otomasi Multi-Server

Membuat Playbook Ansible untuk Deploy Web Server

Menggunakan Template Jinja2 di Ansible

Mengaktifkan AuditD untuk Keamanan Sistem di Rocky Linux

Apa Itu AuditD?

Langkah-Langkah Mengaktifkan AuditD di Rocky Linux

1. Memeriksa Status AuditD

2. Menginstal AuditD

3. Memeriksa dan Membaca Log Audit

4. Mengatur Aturan Audit (Audit Rules)

5. Memastikan AuditD Berjalan Saat Booting

6. Tips Konfigurasi AuditD untuk Pemula

👉 Jika Anda ingin memperdalam, jangan lewatkan artikel terkait lainnya:

Cara Menggunakan logrotate di Rocky Linux

Cara Mengamankan Server Rocky Linux dari Serangan Brute Force

Press ESC to close

Mengaktifkan AuditD untuk Keamanan Sistem di Rocky Linux

Apa Itu AuditD?

Langkah-Langkah Mengaktifkan AuditD di Rocky Linux

1. Memeriksa Status AuditD

2. Menginstal AuditD

3. Memeriksa dan Membaca Log Audit

4. Mengatur Aturan Audit (Audit Rules)

5. Memastikan AuditD Berjalan Saat Booting

6. Tips Konfigurasi AuditD untuk Pemula

👉 Jika Anda ingin memperdalam, jangan lewatkan artikel terkait lainnya:

Cara Menggunakan logrotate di Rocky Linux

Cara Mengamankan Server Rocky Linux dari Serangan Brute Force