audit の履歴(No.1)

履歴一覧
差分を表示
現在との差分を表示
ソースを表示
audit へ行く。
- 1 (2021-02-05 (金) 16:06:03)

Tag: audit

目次†

目次
関連ページ
参考情報
インストール
設定
サンプル
ルールの意味

↑

参考情報†

↑

インストール†

Ubuntuの場合
```
sudo install auditd
```

↑

設定†

Ubuntuの場合/etc/audit/rules.d/audit.rulesを編集する。
/etc/audit/audit.rulesは、rules.dの下の設定ファイルから作られるファイルなので編集しないように。

↑

サンプル†

参考になりそうな情報。auditd-examples/README.md at master · EricGershman/auditd-examples。

以下のように設定してみた。

## First rule - delete all
-D

## Increase the buffers to survive stress events.
## Make this bigger for busy systems
-b 8192

## This determine how long to wait in burst of events
--backlog_wait_time 0

## Set failure mode to syslog
-f 1

-a always,exit -F dir=/var/lib/mysql -S unlink -S unlinkat -S rename -S renameat  -S rmdir -k delete_mysql
-a always,exit -F arch=b32 -F uid=33 -S execve -k www
-a always,exit -F arch=b64 -F uid=33 -S execve -k www
-a always,exit -F arch=b32 -C auid!=uid -S execve -k su_prog
-a always,exit -F arch=b64 -C auid!=uid -S execve -k su_prog
-a exit,always -S unlink -S rmdir -k delete_file
-w /var/www -p wa -k change_file
-w /etc/group -p wa -k change_file
-w /etc/passwd -p wa -k change_file
-w /etc/shadow -p wa -k change_file
-w /etc/sudoers -p -k change_file

mysqlファイルの削除を監視。

-a always,exit -F dir=/var/lib/mysql -S unlink -S unlinkat -S rename -S renameat  -S rmdir -k delete_mysql

Webサーバー経由のコマンド実行を監視

-a always,exit -F arch=b32 -F uid=33 -S execve -k www
-a always,exit -F arch=b64 -F uid=33 -S execve -k www

sudoによるコマンド実行を監視

-a always,exit -F arch=b32 -C auid!=uid -S execve -k su_prog
-a always,exit -F arch=b64 -C auid!=uid -S execve -k su_prog

ファイル削除を監視

-a exit,always -S unlink -S rmdir -k delete_file

ファイルの編集を監視

-w /var/www -p wa -k change_file
-w /etc/group -p wa -k change_file
-w /etc/passwd -p wa -k change_file
-w /etc/shadow -p wa -k change_file
-w /etc/sudoers -p -k change_file

↑

audit の履歴(No.1)

目次†

関連ページ†

参考情報†

インストール†

設定†

サンプル†

ルールの意味†