kit*_*irl 5 audit auditd centos7
我的服务器是centos7.6,auditd 2.8.5
在审计规则中,我设置了:
-a always,exit -F arch=b32 -S adjtimex,settimeofday -F key=time-change
但是这个规则也记录了正常的ntpd活动,然后我试着把这个规则修改为:
-a always,exit -F arch=b32 -S adjtimex,settimeofday,stime -F subj_type!=ntpd_t -F auid!=chrony -F auid!=ntp -F auid!=chrony -F auid!=ntp -F key=time-change
应该使用auid!=ntp还是uid!=ntp? 我检查了手册:
每个域间方程以及以 -F 开头的方程相互关联以触发审核记录。支持 2 个运算符 - 相等和不相等。有效字段为:auid、uid、euid、suid、fsuid、obj_uid、gid、egid、sgid、fsgid、obj_gid
我很困惑,auid, uid, euid, suid, fsuid, obj_uid, gid, egid, sgid, fsgid, obj_gid in 有auditctl什么区别?
审核手册假设您熟悉 POSIX 安全模型和多种类型的 uid。阅读man 凭证以更熟悉这一点。但是,这并不完整,其余部分请参考安全指南(例如RHEL 审计系统参考)。尤其:
奥伊德
记录审核用户 ID。该 ID 在用户登录时分配给用户,并且由每个进程继承,即使用户的身份发生更改(例如,通过使用 su - john 切换用户帐户)也是如此。
为了提高效率,可以将规则及其例外情况写在一行上。然而,有时我会从更简单的规则开始。更容易理解,并拼凑示例。
Auditd 附带了用于审核时间更改和忽略 chronyd 的示例规则。看着 /usr/share/doc/audit*/rules/22-ignore-chrony.rules:
## This rule suppresses the time-change event when chrony does time updates
-a never,exit -F arch=b64 -S adjtimex -F auid=unset -Fuid=chrony -F subj_type=chronyd_t
-a never,exit -F arch=b32 -S adjtimex -F auid=unset -Fuid=chrony -F subj_type=chronyd_t
“在 64 位平台上,对于 adjtimex 调用,当审核 UID 不存在(不是登录 shell)、用户名是 chrony、SELinux 上下文是 chronyd_t 时,从不记录。”
事实上,这个例子可能有一个错误。通过在 systemd 下运行 chronyd 以及来自 的示例规则30-pci-dss-v31.rules,我发现审计事件为 uid 0。
type=SYSCALL msg=audit(1552670692.891:1067): arch=c000003e syscall=159 success=yes exit=5 a0=7ffe0d94ae10 a1=0 a2=55e857a3af60 a3=0 items=0 ppid=1 pid=6487 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="chronyd" exe="/usr/sbin/chronyd" subj=system_u:system_r:chronyd_t:s0 key="10.4.2b-time-change"
ps 报告它以用户 chrony 身份在 chronyd_t 上下文中运行。所以它是有限的,但auditd反映了systemd如何以root身份启动它。
试一下条件-F auid=unset -F subj_type=chronyd_t。不是来自登录 shell 并且在正确的上下文中对我来说就足够了。
(这个子系统有其怪癖。我唯一能够将 auid=4294967295 翻译为取消设置的地方是邮件列表。)
| 归档时间: |
|
| 查看次数: |
4153 次 |
| 最近记录: |