#author("2021-02-05T07:09:33+00:00","default:src128","src128")
#author("2021-02-05T07:10:21+00:00","default:src128","src128")
&tag(audit);
*目次 [#ica3ca61]
#contents
*関連ページ [#ie82d855]
*参考情報 [#o6b1fd93]

*インストール [#d65ec717]
-Ubuntuの場合
 sudo install auditd

*設定 [#y16755a4]
-Ubuntuの場合/etc/audit/rules.d/audit.rulesを編集する。
-/etc/audit/audit.rulesは、rules.dの下の設定ファイルから作られるファイルなので編集しないように。

*サンプル [#u2c91a83]
-参考になりそうな情報。[[auditd-examples/README.md at master · EricGershman/auditd-examples:https://github.com/EricGershman/auditd-examples/blob/master/README.md]]。
-以下のように設定してみた。
#pre{{
## First rule - delete all
-D

## Increase the buffers to survive stress events.
## Make this bigger for busy systems
-b 8192

## This determine how long to wait in burst of events
--backlog_wait_time 0

## Set failure mode to syslog
-f 1

-a always,exit -F dir=/var/lib/mysql -S unlink -S unlinkat -S rename -S renameat  -S rmdir -k delete_mysql
-a always,exit -F arch=b32 -F uid=33 -S execve -k www
-a always,exit -F arch=b64 -F uid=33 -S execve -k www
-a always,exit -F arch=b32 -C auid!=uid -S execve -k su_prog
-a always,exit -F arch=b64 -C auid!=uid -S execve -k su_prog
-a exit,always -S unlink -S rmdir -k delete_file
-w /var/www -p wa -k change_file
-w /etc/group -p wa -k change_file
-w /etc/passwd -p wa -k change_file
-w /etc/shadow -p wa -k change_file
-w /etc/sudoers -p -k change_file
}}
-mysqlファイルの削除を監視。
 -a always,exit -F dir=/var/lib/mysql -S unlink -S unlinkat -S rename -S renameat  -S rmdir -k delete_mysql
-Webサーバー経由のコマンド実行を監視
 -a always,exit -F arch=b32 -F uid=33 -S execve -k www
 -a always,exit -F arch=b64 -F uid=33 -S execve -k www
-sudoによるコマンド実行を監視
 -a always,exit -F arch=b32 -C auid!=uid -S execve -k su_prog
 -a always,exit -F arch=b64 -C auid!=uid -S execve -k su_prog
-ファイル削除を監視
 -a exit,always -S unlink -S rmdir -k delete_file
-ファイルの編集を監視
 -w /var/www -p wa -k change_file
 -w /etc/group -p wa -k change_file
 -w /etc/passwd -p wa -k change_file
 -w /etc/shadow -p wa -k change_file
 -w /etc/sudoers -p -k change_file

*ルールの意味 [#t8d7b2a7]
-[[7.5. 監査ルールの定義 Red Hat Enterprise Linux 6 | Red Hat Customer Portal:https://access.redhat.com/documentation/ja-jp/red_hat_enterprise_linux/6/html/security_guide/sec-Defining_Audit_Rules_and_Controls#bh-defining_controls_with_auditctl]]
- -f: エラーが検出されたときのアクション
- -a: システムコールルール。
 auditctl -a action,filter -S system_call -F field=value -k key_name
-- filter: user / task / exit / exclude

トップ   編集 差分 履歴 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS