audit
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
検索
|
最終更新
|
ヘルプ
|
ログイン
]
開始行:
&tag(audit);
*目次 [#ica3ca61]
#contents
*関連ページ [#ie82d855]
*参考情報 [#o6b1fd93]
*インストール [#d65ec717]
-Ubuntuの場合
sudo install auditd
*設定 [#y16755a4]
-Ubuntuの場合/etc/audit/rules.d/audit.rulesを編集する。
-/etc/audit/audit.rulesは、rules.dの下の設定ファイルから...
*サンプル [#u2c91a83]
-参考になりそうな情報。[[auditd-examples/README.md at mas...
-以下のように設定してみた。
#pre{{
## First rule - delete all
-D
## Increase the buffers to survive stress events.
## Make this bigger for busy systems
-b 8192
## This determine how long to wait in burst of events
--backlog_wait_time 0
## Set failure mode to syslog
-f 1
-a always,exit -F dir=/var/lib/mysql -S unlink -S unlinka...
-a always,exit -F arch=b32 -F uid=33 -S execve -k www
-a always,exit -F arch=b64 -F uid=33 -S execve -k www
-a always,exit -F arch=b32 -C auid!=uid -S execve -k su_p...
-a always,exit -F arch=b64 -C auid!=uid -S execve -k su_p...
-a exit,always -S unlink -S rmdir -k delete_file
-w /var/www -p wa -k change_file
-w /etc/group -p wa -k change_file
-w /etc/passwd -p wa -k change_file
-w /etc/shadow -p wa -k change_file
-w /etc/sudoers -p -k change_file
}}
-mysqlファイルの削除を監視。
-a always,exit -F dir=/var/lib/mysql -S unlink -S unlink...
-Webサーバー経由のコマンド実行を監視
-a always,exit -F arch=b32 -F uid=33 -S execve -k www
-a always,exit -F arch=b64 -F uid=33 -S execve -k www
-sudoによるコマンド実行を監視
-a always,exit -F arch=b32 -C auid!=uid -S execve -k su_...
-a always,exit -F arch=b64 -C auid!=uid -S execve -k su_...
-ファイル削除を監視
-a exit,always -S unlink -S rmdir -k delete_file
-ファイルの編集を監視
-w /var/www -p wa -k change_file
-w /etc/group -p wa -k change_file
-w /etc/passwd -p wa -k change_file
-w /etc/shadow -p wa -k change_file
-w /etc/sudoers -p -k change_file
*ルールの意味 [#t8d7b2a7]
-[[7.5. 監査ルールの定義 Red Hat Enterprise Linux 6 | Red...
- -f: エラーが検出されたときのアクション
- -a: システムコールルール。
auditctl -a action,filter -S system_call -F field=value ...
-- filter: user / task / exit / exclude
終了行:
&tag(audit);
*目次 [#ica3ca61]
#contents
*関連ページ [#ie82d855]
*参考情報 [#o6b1fd93]
*インストール [#d65ec717]
-Ubuntuの場合
sudo install auditd
*設定 [#y16755a4]
-Ubuntuの場合/etc/audit/rules.d/audit.rulesを編集する。
-/etc/audit/audit.rulesは、rules.dの下の設定ファイルから...
*サンプル [#u2c91a83]
-参考になりそうな情報。[[auditd-examples/README.md at mas...
-以下のように設定してみた。
#pre{{
## First rule - delete all
-D
## Increase the buffers to survive stress events.
## Make this bigger for busy systems
-b 8192
## This determine how long to wait in burst of events
--backlog_wait_time 0
## Set failure mode to syslog
-f 1
-a always,exit -F dir=/var/lib/mysql -S unlink -S unlinka...
-a always,exit -F arch=b32 -F uid=33 -S execve -k www
-a always,exit -F arch=b64 -F uid=33 -S execve -k www
-a always,exit -F arch=b32 -C auid!=uid -S execve -k su_p...
-a always,exit -F arch=b64 -C auid!=uid -S execve -k su_p...
-a exit,always -S unlink -S rmdir -k delete_file
-w /var/www -p wa -k change_file
-w /etc/group -p wa -k change_file
-w /etc/passwd -p wa -k change_file
-w /etc/shadow -p wa -k change_file
-w /etc/sudoers -p -k change_file
}}
-mysqlファイルの削除を監視。
-a always,exit -F dir=/var/lib/mysql -S unlink -S unlink...
-Webサーバー経由のコマンド実行を監視
-a always,exit -F arch=b32 -F uid=33 -S execve -k www
-a always,exit -F arch=b64 -F uid=33 -S execve -k www
-sudoによるコマンド実行を監視
-a always,exit -F arch=b32 -C auid!=uid -S execve -k su_...
-a always,exit -F arch=b64 -C auid!=uid -S execve -k su_...
-ファイル削除を監視
-a exit,always -S unlink -S rmdir -k delete_file
-ファイルの編集を監視
-w /var/www -p wa -k change_file
-w /etc/group -p wa -k change_file
-w /etc/passwd -p wa -k change_file
-w /etc/shadow -p wa -k change_file
-w /etc/sudoers -p -k change_file
*ルールの意味 [#t8d7b2a7]
-[[7.5. 監査ルールの定義 Red Hat Enterprise Linux 6 | Red...
- -f: エラーが検出されたときのアクション
- -a: システムコールルール。
auditctl -a action,filter -S system_call -F field=value ...
-- filter: user / task / exit / exclude
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
