Tag: audit

目次

関連ページ

参考情報

インストール

  • Ubuntuの場合
    sudo install auditd

設定

  • Ubuntuの場合/etc/audit/rules.d/audit.rulesを編集する。
  • /etc/audit/audit.rulesは、rules.dの下の設定ファイルから作られるファイルなので編集しないように。

サンプル

  • 参考になりそうな情報。auditd-examples/README.md at master · EricGershman/auditd-examples
  • 以下のように設定してみた。
    ## First rule - delete all
    -D
    
    ## Increase the buffers to survive stress events.
    ## Make this bigger for busy systems
    -b 8192
    
    ## This determine how long to wait in burst of events
    --backlog_wait_time 0
    
    ## Set failure mode to syslog
    -f 1
    
    -a always,exit -F dir=/var/lib/mysql -S unlink -S unlinkat -S rename -S renameat  -S rmdir -k delete_mysql
    -a always,exit -F arch=b32 -F uid=33 -S execve -k www
    -a always,exit -F arch=b64 -F uid=33 -S execve -k www
    -a always,exit -F arch=b32 -C auid!=uid -S execve -k su_prog
    -a always,exit -F arch=b64 -C auid!=uid -S execve -k su_prog
    -a exit,always -S unlink -S rmdir -k delete_file
    -w /var/www -p wa -k change_file
    -w /etc/group -p wa -k change_file
    -w /etc/passwd -p wa -k change_file
    -w /etc/shadow -p wa -k change_file
    -w /etc/sudoers -p -k change_file
    
  • mysqlファイルの削除を監視。
    -a always,exit -F dir=/var/lib/mysql -S unlink -S unlinkat -S rename -S renameat  -S rmdir -k delete_mysql
  • Webサーバー経由のコマンド実行を監視
    -a always,exit -F arch=b32 -F uid=33 -S execve -k www
    -a always,exit -F arch=b64 -F uid=33 -S execve -k www
  • sudoによるコマンド実行を監視
    -a always,exit -F arch=b32 -C auid!=uid -S execve -k su_prog
    -a always,exit -F arch=b64 -C auid!=uid -S execve -k su_prog
  • ファイル削除を監視
    -a exit,always -S unlink -S rmdir -k delete_file
  • ファイルの編集を監視
    -w /var/www -p wa -k change_file
    -w /etc/group -p wa -k change_file
    -w /etc/passwd -p wa -k change_file
    -w /etc/shadow -p wa -k change_file
    -w /etc/sudoers -p -k change_file

ルールの意味


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2021-02-05 (金) 16:10:21